El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado a una nueva serie de ataques dirigidos a personal universitario, investigadores y profesores con fines de recopilación de inteligencia.
Empresa de ciberseguridad Resiliencia dicho identificó la actividad a finales de julio de 2024 después de observar un error de seguridad operativa (OPSEC) cometido por los piratas informáticos.
Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima, es solo uno de los innumerables equipos cibernéticos ofensivos que operan bajo la dirección del gobierno y el ejército de Corea del Norte.
También es muy activo y a menudo recurre a campañas de phishing como punto de partida para proporcionar un conjunto cada vez mayor de herramientas personalizadas para realizar reconocimientos, robar datos y establecer acceso a una distancia persistente a los hosts infectados.
Los ataques también se caracterizan por utilizar hosts comprometidos como infraestructura provisional para implementar una versión ofuscada del shell web Green Dinosaur, que luego se utiliza para realizar operaciones con archivos. El uso que hizo Kimuksy del web shell fue previamente resaltado por el investigador de seguridad blackorbird en mayo de 2024.
Luego se abusa del acceso ofrecido por Green Dinosaur para descargar páginas de phishing prefabricadas, diseñadas para imitar los portales de inicio de sesión legítimos de Naver y varias universidades como la Universidad Dongduk, la Universidad de Corea y la Universidad Yonsei, en un intento de capturar sus credenciales.
Luego, las víctimas son redirigidas a otro sitio que enlaza con un documento PDF alojado en Google Drive que dice ser una invitación al foro de agosto del Instituto Asan de Estudios Políticos.
“Además, en los sitios de phishing de Kimsuky, hay un conjunto de herramientas de phishing específico y no dirigido a recopilar cuentas de Naver”, dijeron los investigadores de Resilience.
“Este conjunto de herramientas es un proxy rudimentario similar a Evilginx para robar cookies y credenciales de los visitantes y muestra ventanas emergentes que informan a los usuarios que deben iniciar sesión nuevamente porque se ha interrumpido la comunicación con el servidor. »
El análisis también destacó una costumbre PHPMailer herramienta utilizada por Kimsuky llamada SendMail, que se utiliza para enviar correos electrónicos de phishing a objetivos que utilizan cuentas de Gmail y Daum Mail.
Para combatir esta amenaza, se recomienda a los usuarios habilitar la autenticación multifactor (MFA) resistente al phishing y revisar las URL antes de iniciar sesión.