Problema 7004

Incidentes Asociados

Incidente 12086 Reportes
North Korea's Kimsuky Group Reportedly Uses AI-Generated Military ID Deepfakes in Phishing Campaign

Loading...
Falsificación de tarjetas de identificación militar oficiales de Corea del Sur mediante deepfake con IA: la campaña APT del grupo Kimsuky.
genians.co.kr · 2025

◈ Hallazgos clave ------------------------- Se ha detectado un ataque APT del grupo Kimsuky utilizando la IA generativa "ChatGPT".

  • Falsificaron fotos de tarjetas de identificación de funcionarios públicos militares surcoreanos mediante deepfakes y contactaron a las víctimas haciéndose pasar por emisores de tarjetas.

  • Intentaron evadir el antivirus utilizando archivos por lotes y scripts de AutoIt.

  • La implementación de EDR es esencial para detectar scripts maliciosos ofuscados y garantizar la seguridad de los terminales.

  1. Resumen ---------------- El 17 de julio de 2025, el Centro de Seguridad de Genians (GSC) descubrió un ataque de spear-phishing clasificado como perpetrado por el grupo Kimsuky. Se trató de un ataque APT que suplantaba la identidad de una agencia de defensa surcoreana, haciéndose pasar por un oficial militar emisor de tarjetas de identificación de funcionarios públicos.

El atacante utilizó la IA generativa ChatGPT para crear una imagen de muestra de una tarjeta de identificación de funcionario público, que luego se utilizó en el ataque. Este es un ejemplo real del uso de "DeepFake" por parte del grupo Kimsuky.

Deepfake es un acrónimo de "Deep Learning" (aprendizaje profundo) y "Fake" (falso), que se refiere a la tecnología y los resultados del uso de inteligencia artificial (IA) para crear imágenes, videos y audios falsos que parecen ser de personas reales.

Actualmente, el significado se ha ampliado para incluir la operación y todos los datos generados mediante IA generativa para hacer que algo parezca una persona real. Cabe mencionar que el término se originó alrededor de 2017, cuando un usuario de Reddit apodado "deepfakes" utilizó un modelo de aprendizaje profundo de código abierto para superponer los rostros de celebridades en videos obscenos y compartirlos.

El objetivo principal de este informe es observar cómo se utiliza la tecnología deepfake en escenarios de ataque reales mediante ejemplos específicos, obtener información sobre las amenazas a partir de estos ejemplos y presentar el impacto potencial en el entorno de seguridad y las contramedidas.

  1. Antecedentes

GSC publicó previamente un "Informe de análisis táctico de ClickFix". Parte del informe incluía un ejemplo de un ataque que suplantaba las características de seguridad de una empresa de portales surcoreana.

Este ataque suplantó la función de seguridad reCAPTCHA de una empresa de portales surcoreana, engañando a las víctimas para que ejecutaran comandos maliciosos de PowerShell siguiendo las instrucciones de una ventana emergente. Los analistas de amenazas de Genius confirmaron que el malware utilizado también se empleó en el mismo ataque deepfake, suplantando la identidad de un departamento de defensa.

[Figura 2-1] Escenario de ataque

Este estudio de correlación ayuda a comprender el caso de la falsificación de la tarjeta de identificación militar oficial surcoreana mediante deepfakes con IA.

Además, el grupo Kimsuky participa activamente en ataques con temática de IA, como engañar a los destinatarios creando asuntos de correo electrónico que simulan que el correo ha sido gestionado por una IA.

Mientras tanto, Anthropic, una empresa estadounidense que opera el servicio de generación de IA "Claude", publicó el 28 de agosto un informe de inteligencia sobre amenazas titulado "Detección y contramedidas de la IA: agosto de 2025", que revela casos de uso indebido de IA por parte de trabajadores informáticos norcoreanos.

Según el informe, se confirmó la creación de identidades virtuales sofisticadas y manipuladas mediante IA, las cuales se utilizaron como base para las evaluaciones técnicas durante el proceso de selección de personal. Tras la contratación, se descubrió que también realizaban tareas técnicas reales mediante IA. El informe analizó que estas actividades fueron meticulosamente diseñadas para eludir las sanciones internacionales y, al mismo tiempo, generar divisas para el régimen norcoreano.

Añadió que, sin el servicio de IA, a estos trabajadores les habría resultado difícil superar las entrevistas técnicas o continuar trabajando debido a la falta de conocimientos de programación o a las limitaciones en sus habilidades de comunicación profesional en inglés.

Además, los Ministerios de Asuntos Exteriores de Corea del Sur y Japón emitieron una declaración conjunta sobre los trabajadores informáticos norcoreanos (https://www.mofa.go.jp/mofaj/press/release/pressit_000001_02650.html), en la que afirman que «los trabajadores informáticos norcoreanos emplean diversos métodos para hacerse pasar por trabajadores informáticos no norcoreanos mediante identidades y ubicaciones falsas, incluyendo el uso de herramientas de IA y la colaboración con intermediarios extranjeros. Contratar, apoyar o subcontratar trabajo a trabajadores informáticos norcoreanos conlleva riesgos cada vez más graves, que van desde el robo de propiedad intelectual, datos y fondos hasta daños a la reputación y consecuencias legales».

En este sentido, se siguen reportando casos de actores malintencionados patrocinados por estados que hacen un uso indebido de los servicios de IA para llevar a cabo actividades ofensivas sofisticadas. En particular, agentes que trabajan en colaboración con Corea del Norte utilizan la IA para generar identidades y currículos falsos, y posteriormente realizan operaciones de infiltración cibernética utilizando la IA en evaluaciones técnicas y trabajo práctico.

Los servicios de IA son herramientas poderosas para mejorar la productividad laboral, pero también representan un factor de riesgo potencial que podría explotarse para ciberamenazas a nivel de seguridad nacional. Por lo tanto, es necesario considerar el potencial de mal uso de la IA y prepararse adecuadamente en todos los aspectos de la contratación, las operaciones y la gestión dentro de una organización, así como realizar un monitoreo continuo de la seguridad.

  1. Análisis Técnico

3-1. Suplantación de identidad del Servicio de Asesoramiento sobre Seguridad del Correo Electrónico - ClickFix (Caso 1)

El 2 de junio de 2025, se descubrieron varios ataques de phishing que suplantaban la identidad del servicio de asesoramiento sobre seguridad del correo electrónico de una empresa de portales surcoreana.

Los principales objetivos de los ataques eran investigadores, activistas de derechos humanos y periodistas norcoreanos, dirigidos principalmente a personas vinculadas con Corea del Norte en el sector privado.

[Figura 3-1] Captura de pantalla de un correo electrónico de phishing dirigido a ClickFix

El remitente y el destino del enlace de cada correo electrónico, confirmados en su momento, eran la misma dirección "liveml.cafe24[.]com", que funcionaba como servidor de control de línea de comandos (C2). Sin embargo, los destinatarios eran diferentes en cada caso.

| Fecha | Remitente | Enlace de phishing |

| 2025-06-02 | serv_warnq0x@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |

| noreply_system001@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |

[Tabla 3-1] Información de phishing que suplanta el servicio de orientación sobre seguridad de correo electrónico de una empresa de portales

Al hacer clic en el enlace incrustado al final del cuerpo del correo electrónico de phishing, se conecta a un servidor C2 y se muestra una ventana emergente de ClickFix. A continuación, se ejecutan comandos maliciosos de PowerShell y Batch copiados en segundo plano y, tras varios pasos, se descarga un archivo CAB del servidor C2 coreano "jiwooeng.co[.]kr".

[Figura 3-2] Ventana emergente de ClickFix

Dentro del archivo CAB se encuentra un archivo llamado "HncUpdateTray.exe" disfrazado de actualización de Hancom Office. En realidad, este archivo es "AutoIt3.exe" y se utiliza para ejecutar un script compilado de AutoIt llamado "config.bin" que está adjunto. Este script se comunica periódicamente con el servidor C2 "jiwooeng.co[.]kr" y ejecuta nuevos comandos de archivos por lotes según la intención del ataque.

Mientras tanto, además de la táctica ClickFix, continuaron los típicos ataques de phishing dirigidos a robar información de cuentas. En ese momento, la dirección cambió de "liveml.cafe24[.]com" a "snuopel.cafe24[.]com".

[](https://www.genians.co.kr/hubfs/%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E6%83%85%E5%A0%B1%E7%AA%83%E5%8F%96%E7%94%A8%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E (Imagen: 3%83%B3%E3%82%B0%E3%83%A1%E3%83%BC%E3%83%AB%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figura 3-3] Pantalla de correo electrónico de phishing para robar información de cuentas

Incluso en ataques de phishing Para robar información de cuentas, los patrones de direcciones de correo electrónico utilizados para el envío son similares.

  • noreply_system001@liveml.cafe24[.]com

  • noreply_system001@snuopel.cafe24[.]com

En particular, algunos correos electrónicos se disfrazan de anuncios de nuevas funciones donde la IA gestiona los correos. El atacante introdujo y utilizó un tema de IA en el ataque.

3-2. Suplantación de identidad de archivos adjuntos de documentos HWP - ClickFix (Caso 2)

Un usuario que normalmente es muy consciente de la seguridad probablemente sospechará y se abstendrá de acceder a un archivo desconocido recibido por correo electrónico. Los atacantes de Amenazas Persistentes Avanzadas (APT) son conscientes de esto.

Por lo tanto, suelen acercarse al objetivo con un tema que coincide con su área de actividad e intereses. Alternativamente, pueden atacar a usuarios con un nivel de conciencia de seguridad relativamente bajo para crear una base para la expansión lateral, intervenir en conversaciones cotidianas y transmitir sutilmente software malicioso. archivos.

[](https://www.genians.co.kr/hubfs/HWP%E6%96%87%E6%9B%B8%E3%81%AE%E6%B7%BB%E4%BB%98%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E3%81%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97% (E3%81%9FClickFix%E6%94%BB%E6%92%83%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figura 3-4] Captura de pantalla de un correo electrónico de ataque ClickFix que suplantaba un archivo adjunto de documento HWP

Este incidente ocurrió el 17 de junio y tuvo como objetivo a una persona específica. El correo electrónico suplantaba un archivo adjunto de documento HWP de Hancom.

Como se mencionó anteriormente, el destinatario del ataque recibía regularmente este tipo de documentos HWP de conocidos. Por lo tanto, accedió al archivo adjunto sin sospechar demasiado.

El archivo del documento tenía la misma dirección que el servidor C2 "liveml.cafe24[.]com" utilizado en el ataque ClickFix, y se utilizó el mismo código de script interno.

3-3. Suplantación de identidad de Tarjeta de identificación de funcionario público - Deepfake con IA (Caso 3)

Siguiendo la táctica de ClickFix, en julio se descubrió un caso de "deepfake" que explotaba el servicio ChatGPT de OpenAI.

Este atacante utilizó un servicio de IA de generación de imágenes para crear una foto falsa de una tarjeta de identificación de funcionario público militar surcoreano y llevó a cabo un ataque de spear-phishing disfrazado de una empresa que solicitaba la consideración de una propuesta preliminar.

La dirección del remitente del correo electrónico se diseñó para que se pareciera a la dirección de dominio oficial de un funcionario militar surcoreano real. agencia.

[](https://www.genians.co.kr/hubfs/%E9%9F%93%E5%9B%BD%E8%BB%8D%E5%85%AC%E5%8B%99%E5%93%A1%E8%BA%AB%E5%88%86%E8%A8%BC%E3%81%AE%E8%A9%A6%E6%A1%88%E6%A4%9C%E8%A8%8E%E4%BE%9D%E9%A0%BC%E3%81%AB%E3%8 (1%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97%E3%81%9F%E6%94%BB%E6%92%83%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figura 3-5] Pantalla de ataque que suplanta una solicitud de revisión de un borrador de tarjeta de identificación de funcionario civil militar surcoreano.

El correo electrónico contiene la siguiente información, y el archivo comprimido descargado contiene el nombre real del destinatario (*procesado).

  • Origen:

  • uws64-116.cafe24[.]com

  • 183.111.161[.]96 (KR)

  • Enlace adjunto

  • Versonnex74[.]fr

  • 51.158.21[.]1 (Francia)

  • Descargar archivo

  • Civil Borrador de identificación de funcionario público (***).zip

El archivo comprimido "Borrador de identificación de funcionario público ().zip" contiene un archivo malicioso típico de tipo acceso directo llamado "Borrador de identificación de funcionario público ().lnk". El comando "Destino" en las propiedades del acceso directo actúa como un indicador de cmd.exe. Primero, se declara una cadena larga en la variable de entorno con el valor "ab901ab". Luego, la cadena ofuscada se extrae fragmento a fragmento mediante sintaxis de segmentación.

  • %windir%\syswow64\cmd.exe

  • Set /k "ab901ab="

  • jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh

Por ejemplo, el valor "%ab901ab:~7,1%" significa que [~7,1] selecciona la cadena (p) correspondiente a la séptima posición desde la izquierda (posición 0) de la variable de entorno. cadena. Este proceso extrae y convierte caracteres secuencialmente.

| jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh |

| && llamada %ab901ab:~7,1%%ab901ab:~17,1%%ab901ab:~9,1%%ab901ab:~26,1%%ab901ab:~46,1%% ab901ab:~14,1%%ab901ab:~47,1%%ab901ab:~26,1%%ab901ab:~39,1%%ab901ab:~39,1% |

| ab901ab: | ~7,1 | p |

| ~17,1 | o |

| ~9,1 | w |

| ~26,1 | e |

| ~46,1 | r |

| ~14,1 | s |

| ~47,1 | h |

| ~26,1 | e |

| ~39,1 | l |

| ~39,1 | l |

[Tabla 3-2] Extracción de cadenas ofuscadas contenidas en las propiedades de acceso directo

La cadena convertida intenta comunicarse con el servidor C2 "private.php" en la dirección de comando de PowerShell. "jiwooeng.co[.]kr".

[Figura 3-6] Captura de pantalla de la cadena extraída

Al comunicarse con el servidor C2, la imagen "Draft Civil Servant ID (***).png" y el archivo "LhUdPC3G.bat" se descargan en la carpeta temporal (%Temp%) y se ejecutan.

El archivo de imagen recibido, que suplanta un borrador de identificación de funcionario público, se analizó como una imagen deepfake creada para asemejarse a algunas imágenes disponibles públicamente en Internet. Internet.

En particular, al revisar los metadatos del archivo se confirma que fue creado por la IA "ChatGPT".

[Figura 3-7] Metadatos Imagen PNG (parcialmente borrosa)

Las tarjetas de identificación de los funcionarios militares coreanos son documentos oficiales protegidos por ley. Por lo tanto, hacer copias idénticas o similares a las originales es ilegal. Por este motivo, solicitar a ChatGPT la creación de una copia de una tarjeta de identificación resultará en una respuesta de "imposible".

Sin embargo, la respuesta variará según la solicitud y la configuración del rol del usuario para que el modelo de IA pueda responder. Este método implica solicitar la creación de una maqueta o diseño virtual para fines legítimos, en lugar de una copia de una tarjeta de identificación real de un funcionario militar coreano.

Esto también se aplica a las fotos deepfake utilizadas en ataques reales. Crear tarjetas de identificación falsas mediante servicios de IA no es técnicamente difícil, por lo que se recomienda especial precaución. necesario.

[](https://www.genians.co.kr/hubfs/AI%E3%81%8C%E4%BD%9C%E6%88%90%E3%81%97%E3%81%9F%E4%BB%AE%E6%83%B3%E4%BA%BA%E7%89%A9%E3%81%AE%E8%BA%AB%E5%88%86%E8%A8%BC(%E4% (Image: B8%80%E9%83%A8%E3%83%A2%E3%82%B6%E3%82%A4%E3%82%AF%E5%8A%A0%E5%B7%A5).png?hsLang=ja)

[Figura 3-8] Tarjeta de identificación virtual generada por IA (parcialmente) (borroso)

El análisis del archivo "Draft Civil Servant ID Card (***).png" utilizado en el ataque, mediante el servicio [Truthscan Deepfake Detection] (https://truthscan.com/deepfake-detector), reveló que se trataba de una imagen deepfake con un 98 % de probabilidad de ser falsificada. probabilidad.

[Figura 3-9] Resultados de la búsqueda de deepfakes de TruthScan (parcialmente) (borroso)

Como puede verse, se hacen posibles ataques más sofisticados mediante el trabajo real, temas relacionados y señuelos.

Mientras tanto, el archivo "LhUdPC3G.bat", instalado junto con la foto, se ejecuta, llevando a cabo una actividad maliciosa a gran escala. Este archivo, al igual que el archivo de acceso directo mencionado anteriormente, extrae caracteres ofuscados uno por uno utilizando variables de entorno y los ejecuta.

[Figura] 3-10] Archivo por lotes ofuscado

Las cadenas "Start_juice" y "Eextract_juice", utilizadas como identificadores para saltos de rama internos, siguen apareciendo en casos similares. Este contenido se utiliza, además, para la "Atribución de amenazas" y el análisis de correlación.

El script por lotes ofuscado intenta conectarse a la dirección "private.php?public=admin38" en el servidor C2 "jiwooeng.co[.]kr", declarada en la variable %headerurl%, tras 7 segundos. Si la conexión es exitosa, descarga el archivo "privname173.cab" a la ruta %Public% y lo extrae según los criterios de comparación.

Posteriormente, lo registra en el Programador de tareas como "HncAutoUpdateTaskMachine" y lo ejecuta disfrazado como una actualización de Hancom Office.

  • C:\ProgramData\HncAutoUpdate\HncUpdateTray.exe

  • C:\ProgramData\HncAutoUpdate\config.bin

[Figura 3-11] Diagrama de ejecución

El archivo "HncUpdateTray.exe", que el Programador de tareas ejecuta cada 7 minutos, carga el archivo "config.bin" en la misma ruta.

Como se muestra en la pantalla de iconos del archivo "HncUpdateTray.exe", el archivo original es "AutoIt3.exe". El archivo "config.bin" contiene scripts compilados de AutoIt. Estructura.

[Figura 3-12] Estructura de un archivo AutoIt

El script AutoIt descompilado tiene sus funciones y cadenas ofuscadas para dificultar el análisis y evadir la detección.

En este caso, la función 'msdbvxez()' es una técnica de cifrado carácter por carácter implementada mediante un esquema de cifrado Vigenère modificado, que desplaza cada carácter de la cadena de entrada [+/-] utilizando una clave circular y una matriz periódica de bits.

En comparación con un cifrado César simple, ofrece una mayor seguridad. Nivel de ofuscación, lo que dificulta predecir patrones de caracteres comunes al analizar cadenas estáticas.

[Figura 3-13] Cadena ofuscada y lógica de descifrado

Tras decodificar la cadena ofuscada, se inicia la comunicación con el servidor C2 coreano y se ejecuta un comando. Se espera respuesta GET.

|

Variable local $bxmfljmg = "ADODB.Stream"

Variable local $ndexqvwc = "windows-1252"

Variable local $izscpxux = "MSXML2.DOMDocument.6.0"

Variable local $khabtatx = "b64"

Variable local $lfqwxybb = "bin.base64"

Variable local $nmpogecn = "WinHttp.WinHttpRequest.5.1"

Variable local $iugrncsl = "GET"

Variable local $vvajpije = "User-Agent"

Variable local $qcffuoke = "COMPUTERNAME"

Variable local $pzqvxcmw = "http://www.jiwooeng.co[.]kr/zb41pl7/bbs/icon/private_name/private.php?name="

Local $zkczmqub = "Mozilla/5.0 (Windows NT 10.0; Win64; (x64) Edge/133.2.1.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36

Local $tmylhlop = "\tempprivate0082.bat"

Local $tjpvtfse = "<html"

|

[Tabla 3-3] Resultados de la decodificación de cadenas ofuscadas

El script "config.bin" cargado finalmente distingue el punto final infectado por el valor "COMPUTERNAME" y selecciona objetivos adicionales mediante un proceso de reconocimiento.

Luego, instala el El archivo "tempprivate0082.bat" permite diversas actividades maliciosas, como el robo de documentos internos y el control remoto.

  1. Análisis de un caso similar

4-1. Caso de suplantación de identidad de un instituto académico de investigación para la reunificación Norte-Sur

El 11 de febrero se llevó a cabo un ataque de spear-phishing suplantando la identidad de un instituto académico de investigación surcoreano que estudia las relaciones Norte-Sur.

En ese momento, el ataque consistió en el envío de un archivo LNK malicioso dentro de un archivo ZIP disfrazado de artículo. La dirección C2 utilizada para la descarga fue "guideline.or[.]kr".

[](https://www.genians.co.kr/hubfs/%E8%A8%98%E4%BA%8B%E6%96%87%E3%81%AE%E3%81%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97%E3%82%B9%E3%83%94%E3%82%A2%E3%83%95%E3%82%A3%E3%83%8 (3%E3%82%B7%E3%83%B3%E3%82%B0%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figura 4-1] Pantalla de spear phishing que suplanta la identidad de un artículo

El archivo LNK contiene Un archivo "ms3360.bat", cuyo patrón es similar al del caso deepfake mencionado anteriormente.

[Figura 4-2] Comando en el archivo por lotes

Los valores de las variables de entorno difieren de los del deepfake, pero el método de ofuscación es el mismo, y la configuración de ramificación para "Start_juice" y "Extract_juice" también es la misma.

El script por lotes ofuscado intenta conectarse a la La dirección "push_pass.php?pass=push" en el servidor C2 "hyounwoolab[.]com", declarada como la variable %themeaddr%, se ejecuta tras un retraso de 10 segundos. Si tiene éxito, descarga el archivo "MStemp109.cab" a la ruta %Public% y lo descomprime según los criterios de comparación.

A continuación, registra un programador de tareas llamado "MicrosoftAppStoreTaskMachine" y lo ejecuta haciéndose pasar por la Microsoft AppStore.

  • C:\ProgramData\MicrosoftStore\MicrosoftAppStore.exe

  • C:\ProgramData\MicrosoftStore\account.conf

Hasta este punto, el proceso es similar a los ejemplos de deepfake, pero el archivo "MicrosoftAppStore.exe" no tiene el formato que lee el script de AutoIt.

En este caso, se utilizó la versión 2.7 de "pythonw.exe", un script de Python conocido como "No Console Window", en el ataque. El archivo account.conf utiliza técnicas de "Camuflaje de Comentarios" u "Ofuscación por Relleno".

[Figura 4-3] Comando Oculto Entre Comentarios

"pythonw.exe" es un archivo ejecutable que no muestra una ventana de consola (cmd) en la pantalla cuando se ejecuta un script de Python. Por lo tanto, puede ejecutar comandos de forma encubierta. Scripts maliciosos en segundo plano. El script malicioso, disfrazado como un archivo de registro/configuración inofensivo con numerosos comentarios (#), se ejecuta mediante código Python, no mediante comentarios.

Este código Python utiliza una técnica de ofuscación de cadenas basada en XOR que aplica la operación XOR a la cadena decimal "chr(número^número)" y una técnica de desofuscación en tiempo de ejecución que se genera dinámicamente durante la ejecución del código.

Debido a este nombre de variable ficticio y al disfraz de cadena de comentarios, resulta difícil interpretar inmediatamente el significado del código con solo mirarlo. Por lo tanto, la legibilidad se reduce y el análisis puede ser laborioso. Este comando de Python instalará el archivo "zarokey291.bat" a través del servidor C2 "hyounwoolab[.]com".

4-2. Ocultar actividades maliciosas mediante el disfraz de comentarios en Python

Veamos el ejemplo de Python sin consola mencionado anteriormente y otro ejemplo utilizado para ocultar código principal con cadenas de comentarios (#). Cabe mencionar que existen casos en los que se utiliza el mismo nombre de archivo "MicrosoftAppStore.exe", pero con La diferencia radica en que se utiliza "appstore.version" en lugar de "account.conf".

El acceso inicial suele realizarse mediante ataques de spear-phishing, y se descarga un archivo CAB.

| N.º | Fecha | Nombre del archivo | Tipo | C2 |

| 1 | 01/05/2018 | notepad.exe | pythonw.exe | - |

| 04/12/2024 | notepad.cfg | malware | - |

| 07/12/2024 | notepad.dat | dangol[.]pro |

| 2 | 01/05/2018 | MicrosoftAppStore.exe | pythonw.exe | |

| 04/02/2025 | appstore.version | malware | astaibs.co[.]kr |

| 3 | 01/05/2018 | KMSAutoToolKit.exe | pythonw.exe | |

| 18/02/2025 | toolkit.kit | malware | zabel-partners[.]com |

| 4 | 01/05/2018 | OnedriveAutoLoggin.exe | pythonw.exe | |

10/03/2025 | account.ini | malware | healthindustry.sookmyung.ac[.]kr |

[Tabla 4-1] Lista de archivos internos e información comparativa para cada archivo CAB comprimido

En particular, el archivo CAB n.° 1 de la [Tabla 4-1] se instaló mediante el servidor C2 "hyounwoolab[.]com". En el caso del script de Python "notepad.cfg" incluido en la compresión, la función de cadena de comentarios permanece igual que antes, pero la técnica de ofuscación de cadenas se implementa de una manera ligeramente más compleja. En resumen, los datos codificados en BASE64 de la variable "xbbPU2_2JjSsOHg" se extraen y decodifican en orden inverso. Los valores se obtienen restando los índices del 0 al 44.

El comando Python resultante es un cargador de shellcode típico en memoria que aplica la operación XOR al archivo "notepad.dat" para convertirlo en una estructura de archivo ejecutable y lo asigna a la memoria.

Cabe mencionar que todos los demás archivos y carpetas son simplemente código Python estándar. Módulos.

[Figura 4-4] Carpeta de creación del archivo Notepad.dat y flujo de llamadas

El shellcode se genera a partir de un archivo EXE válido seleccionado aleatoriamente de la carpeta del sistema compatible con 32 bits. (%windir%\SysWOW64). Se inyecta en el archivo.

Este método se suele denominar "inyección de código malicioso".

[Figura 4-5] Captura de pantalla del análisis de depuración de la inserción de shellcode

El malware Al insertarse en un proceso normal, se intenta conectar con dos servidores C2.

  • dangol[.]pro/bbs/option.php
  • api.pcloud[.]com?folderid=24008549953&auth=rPgir7ZJwas7ZkpEjjbqOnemSy65nfFpQiS369GTy

Esto utiliza múltiples direcciones de "dangol[.]pro" y "pcloud[.]com". Se trata de un diseño de infraestructura C2 con tolerancia a fallos que permite el mantenimiento durante un periodo determinado incluso si un servidor falla.

[Figura] 4-6] Pantalla de direcciones C2

  1. Atribución de amenazas

5-1. Concepto

La atribución de amenazas se refiere al proceso de asociar un actor de amenazas, país u organización específicos, o una campaña de ataque concreta. Esto va más allá de la simple verificación de rastros técnicos y constituye un procedimiento analítico crucial para identificar las fuerzas y los motivos detrás de un ataque.

Se construye mediante el análisis exhaustivo de indicadores técnicos (TTP, malware, infraestructura) e indicadores contextuales (objetivo del ataque, características lingüísticas, historial de actividad).

A través de este análisis multifacético, es posible asociarlo con un grupo de amenazas específico. Por supuesto, lo más importante es obtener datos de evidencia fiables, a gran escala e independientes (indicadores de compromiso, muestras de malware, registros, etc.) y analizarlos y recopilarlos sistemáticamente.

Esto proporciona la base para aumentar la precisión y la fiabilidad de la atribución de amenazas.

  • Componentes clave de la atribución de amenazas

    • TTP (Tácticas, Técnicas y Procedimientos)
      • Tácticas, técnicas, procedimientos y otros patrones de comportamiento del atacante
      • Técnicas de ofuscación patentadas, métodos de comunicación C2, patrones de movimiento lateral, etc.
    • Malware y herramientas
      • Tipos de malware, algoritmos de cifrado, marcos de trabajo y herramientas utilizadas para su implementación
      • RAT, hashes, técnicas de ofuscación, herramientas de hacking de código abierto o comerciales
    • Infraestructura
      • Infraestructura utilizada en el ataque, como dominios, direcciones IP, servidores y certificados
      • Información sobre sistemas operativos, WebShell, redes sociales, correo electrónico y suscripciones de alojamiento
    • Compartida y reciclada entre campañas o utilizada repetidamente dentro del mismo grupo
    • Objetivos y victimología
      • Tipos de industrias, regiones y organizaciones principalmente atacadas
      • Sector financiero, sector de defensa, agencias nacionales específicas, etc.
      • Identificación de motivos (Robo de Secretos, Obtención de dinero, Extorsión, Espionaje)
    • Idioma, Estilo de código, Metadatos, Archivo señuelo
      • Pistas del entorno de desarrollo, Cultura y características del idioma*
      • Características del software específicas del país, Formatos de archivo (HWP, EGG)
      • Expresión de comentarios de código, Tiempo de compilación, Ruta PDB, Nombre de cuenta
      • Tiempo principal de actividad o desarrollo (Zona horaria)
      • Material probatorio
    • Campañas históricas
      • Continuidad y reutilización de actividades de ataque anteriores
      • Métodos de ataque utilizados repetidamente por el mismo grupo
      • Familia de malware, Patrones de uso de la infraestructura, etc.
      • Investigación de fallos de OPSEC (Fallo en el mantenimiento de la seguridad, Exposición del sitio)

5-2. Reconstrucción de correlaciones

Al configurar pantallas de correlación basadas en casos similares, se visualizan numerosos eventos de seguridad individuales en forma de diagramas de relaciones. Cada nodo representa un problema de seguridad o un Indicador de Brecha de Seguridad (IoC), y las líneas que conectan los nodos se basan en correlaciones temporales y de comportamiento o en datos comunes.

Estos diagramas de relaciones ayudan a rastrear escenarios de ataque y a comprender las tácticas de los grupos de amenazas mediante correlaciones entre eventos, en lugar de observaciones fragmentadas de eventos individuales. Sin embargo, el nivel de detalle de todos los problemas mostrados en pantalla es limitado; por lo tanto, puede consultar los datos conectados a cada nodo según sea necesario para verificar sucesos históricos e inteligencia de amenazas (TI) asociada.

Esto permite verificar si el evento observado actualmente está relacionado con una campaña de ataque anterior específica o si forma parte de una táctica, técnica o procedimiento recurrente.

Además, confirmamos que muchos de los casos de este informe, incluidos los deepfakes, se correlacionan con indicadores de amenazas utilizados previamente por el grupo Kimsuky.

[](https://www.genians.co.kr/hubfs/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BE%B5%E5%AE%B3%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%B1%E3%83%B (Image of a pirated image.png?hsLang=ja)

[Figura 5-1] Diagrama de correlación basado en indicadores de brechas de seguridad

5-3. Principales archivos señuelo utilizados en el ataque

Los atacantes utilizaron no solo documentos de identificación deepfake, sino también diversos tipos de documentos señuelo.

Ejemplos típicos incluyen: ▷ Datos que predicen las causas del tipo de cambio y la inflación de Corea del Norte, y ▷ Un documento nacional Informe de investigación cuyo objetivo era descubrir la verdad tras las acusaciones de guerra civil a través de la declaración de ley marcial del gobierno de Yoon Seok-yeol.

Estos ataques presentan características que buscan atraer y desviar la atención de sus objetivos, centrándose en la investigación, la defensa nacional y temas política y socialmente sensibles relacionados con Corea del Norte.

[Figura 5-2] Captura parcial de pantalla de un documento señuelo

  1. Conclusión y respuesta

[Genian] EDR Los administradores pueden identificar y detectar inmediatamente los archivos LNK (Accesos Directos de Windows) como una amenaza desde la primera etapa de intrusión en los puntos finales internos.

Cuando se ejecuta el proceso de descompresión (Bandizip.exe), se genera una carga útil maliciosa disfrazada de tarjeta de identificación de funcionario militar surcoreano, que las Reglas de Detección de Comportamiento Anormal (XBA) identifican y notifican como un evento de amenaza.

[Imagen: https://www.genians.co.kr/hubfs/Genian%20EDR%E3%81%AE%E8%84%85%E5%A8%81%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2.png?hsLang=ja]

[Figura 6-1] Pantalla de Gestión de Amenazas de Genian EDR

Cuando el Se ejecuta el archivo LNK, se invoca el comando cmd.exe a través del proceso powershell.exe, descargando y ejecutando archivos de imágenes deepfake y un script por lotes malicioso desde el servidor C2.

[Figura 6-2] Línea de comandos de PowerShell

El archivo por lotes malicioso descargado adicionalmente invoca el comando "timeout -t 7 /nobreak" al ejecutarse, retrasando la ejecución del proceso aproximadamente 7 segundos.

Estas técnicas se utilizan comúnmente como tácticas de retardo para evadir la monitorización a corto plazo en entornos aislados basados en procesos y entornos de análisis dinámico. Sin embargo, Genian EDR puede neutralizar estas técnicas de evasión porque Puede rastrear y analizar toda la cadena de ejecución, independientemente del tiempo de demora.

[Figura 6-3] Diagrama de ataque de Genian EDR

El diagrama de ataque de Genian EDR visualiza todo el flujo de ejecución del malware, lo que permite a los operadores del SOC (Centro de Operaciones de Seguridad) identificar rápidamente comportamientos amenazantes y tomar medidas inmediatas.

  1. Indicadores de Compromiso (IoC)

  • MD5

09dabe5ab566e50ab4526504345af297

33c97fc4eacd73addbae9e6cde54a77d

143d845b6bae947998c3c8d3eb62c3af

8684e5935d9ce47df2da77af7b9d93fb

90026c2dbdb294b13fd03da2be011dd1

472610c4c684cea1b4af36f794eedcb0

227973069e288943021e4c8010a94b3c

bd0e6e02814cf6dcfda9c3c232987756

eacf377577cfebe882d215be9515fd11

fcb97f87905a33af565b0a4f4e884d61

1b2e63ca745043b9427153dc2d4d4635

009bb71299a4f74fe00cf7b8cd26fdfc

  • Dominio

liveml.cafe24[.]com

snuopel.cafe24[.]com

versonnex74[.]fr

seytroux[.]fr

contamine-sarzin[.]fr

jiwooeng.co[.]kr

guideline.or[.]kr

hyounwoolab[.]com

dangol[.]pro

astaibs.co[.]kr

zabel-partners[.]com

healthindustry.sookmyung.ac[.]kr

  • IP

183.111.161[.]96

183.111.182[.]195

183.111.174[.]34

183.111.174[.]97

184.168.108[.]207

51.158.21[.]1

58.229.208[.]146

59.25.184[.]83

111.92.189[.]12

112.175.184[.]4

121.254.129[.]86

Leer la Fuente