Incidentes Asociados
Los hackers norcoreanos Kimsuky utilizan identificaciones militares falsas generadas por IA en una nueva campaña de phishing, advierte GSC, lo que supone un cambio con respecto a las tácticas anteriores de ClickFix.
Kimsuky, un conocido grupo de hackers norcoreano, utiliza ahora identificaciones militares falsas creadas con herramientas de inteligencia artificial (IA) para llevar a cabo su última campaña de phishing. Según la firma de ciberseguridad Genians Security Center (GSC), este es un nuevo paso con respecto a las tácticas anteriores de ClickFix del grupo, que anteriormente engañaban a las víctimas para que ejecutaran comandos maliciosos presentándoles ventanas emergentes de seguridad falsas.
El nuevo enfoque se detectó por primera vez en julio de 2025 (https://www.genians.co.kr/en/blog/threat_intelligence/deepfake), cuando atacantes enviaron correos electrónicos que parecían provenir de una institución legítima de defensa de Corea del Sur. Estos mensajes estaban diseñados para llamar la atención, generalmente fingiendo ser sobre una nueva tarjeta de identificación para personal militar. 
La primera imagen es el correo electrónico de phishing original enviado por los actores de la amenaza (Fuente: GSC). La segunda imagen ha sido traducida por Hackread.com con la ayuda de un traductor de imágenes con IA.
El cebo es un archivo ZIP que contiene lo que parece ser un borrador de una identificación militar real. Pero hay una trampa: la foto convincente de la identificación no es real. Se trata de un deepfake generado por IA con una probabilidad casi perfecta del 98 % de ser falso, creado con herramientas de IA ampliamente disponibles como ChatGPT.
APT Kimusky utiliza deepfakes con IA en una nueva campaña de phishing.
Identificaciones militares falsas generadas por IA (Fuente: GSC)
Si una persona desprevenida abre el archivo, comienza el verdadero ataque. Un programa malicioso oculto se ejecuta inmediatamente en segundo plano. Para evitar ser detectado, espera unos segundos antes de descargar en secreto un archivo malicioso llamado LhUdPC3G.bat desde un servidor remoto en jiwooeng.co.kr.
Usando archivos por lotes y scripts de AutoIt, los hackers instalan una tarea maliciosa llamada HncAutoUpdateTaskMachine que se ejecuta cada siete minutos, disfrazada como una actualización de Hancom Office. Los investigadores observaron que los hackers han empleado tácticas similares en otros ataques, con cadenas de caracteres como "Start_juice" y "Eextract_juice" en su código.
Esta campaña de deepfake de identidad militar muestra cómo el grupo Kimsuky cambia constantemente sus tácticas, utilizando un señuelo de ingeniería social para lograr el mismo objetivo: hacer que la víctima ejecute una serie de scripts que comprometen su ordenador.
Esta no es la primera vez que el grupo utiliza IA con fines maliciosos. En junio de 2025, OpenAI informó que actores de amenazas norcoreanos crearon identidades falsas con IA para aprobar entrevistas de trabajo técnicas. Hackers de China, Rusia e Irán también han utilizado indebidamente herramientas de IA, en particular ChatGPT, para actividades similares.
En definitiva, esta última campaña pone de relieve la necesidad de una seguridad más avanzada. Según GSC, sistemas como Endpoint Detection and Response (EDR) son esenciales para detectar y neutralizar este tipo de ataques que se basan en scripts ofuscados para ocultar su actividad maliciosa.