🧠 Cuando una factura de VPN abre la puerta al infierno: el engaño detrás de HttpTroy

¿Alguna vez has recibido un correo con una factura o una actualización de VPN que parece legítima, pero algo te da mala espina?
Bueno… esa “corazonada” podría ser lo único que te salve de un ataque de espionaje digital muy bien ejecutado.

Un grupo de amenazas vinculado a Corea del Norte, conocido como Kimsuky, ha llevado el phishing a otro nivel. Han desplegado un nuevo backdoor llamado HttpTroy, disfrazado de factura de servicio VPN, con el objetivo de comprometer sistemas de alto valor en Corea del Sur. Aunque el ataque está dirigido, las tácticas que usan podrían afectar a cualquier organización —incluyendo la tuya— si no se aplican buenas prácticas básicas.

⚙️ Cómo funciona el engaño

Todo comienza con un correo de spear phishing que incluye un archivo ZIP con un supuesto documento de factura.
Cuando la víctima abre el archivo, se activa una cadena de infección en tres etapas:

1. Dropper: un ejecutable pequeño que inicia la descarga.

2. Loader (MemLoad): carga los componentes en memoria para evitar que queden rastros en disco.

3. Backdoor (HttpTroy): da acceso total al sistema comprometido.

Una vez dentro, HttpTroy permite tomar el control completo de la máquina: copiar archivos, capturar pantallas, ejecutar comandos con privilegios elevados, abrir shells reversos, matar procesos o incluso borrar evidencia del ataque. Todo esto se comunica con el servidor de control mediante peticiones HTTP POST, haciéndose pasar por tráfico web normal, lo que dificulta su detección en firewalls o SIEMs mal configurados.

🧩 Por qué es tan difícil detectarlo

HttpTroy está diseñado para ocultar su propio código y complicar los análisis. Utiliza una mezcla de hashing personalizado, XOR e instrucciones SIMD para esconder funciones y cadenas. Todo se reconstruye dinámicamente en memoria, cambiando la forma en que se presenta cada vez que se ejecuta.
En palabras simples: aunque lo captures en un sandbox, casi no deja huella repetible.

🕵️ Lo que revela este ataque

Los investigadores de Gen Digital han vinculado este caso con otras campañas recientes del grupo Lazarus, también asociado a Corea del Norte. Estas operaciones usan malware como Comebacker y BLINDINGCAN (también conocido como AIRDRY o ZetaNile) para infiltrarse en sistemas en Canadá y otros países.
El patrón es claro: ataques en múltiples fases, con código ofuscado y persistencia sigilosa.

🔐 Qué puedes hacer tú (sí, tú)

Aunque HttpTroy suene lejano, las técnicas que emplea son las mismas que podrían usarse para infiltrarse en la red de cualquier empresa mediana o pequeña.
Algunas medidas prácticas que puedes aplicar hoy:

• No abras adjuntos inesperados, aunque parezcan documentos administrativos o facturas.

• Filtra correos entrantes con políticas de SPF, DKIM y DMARC bien configuradas.

• Monitorea tráfico HTTP saliente con reglas que detecten patrones anómalos o destinos sospechosos.

• Entrena a tu equipo para detectar correos de spear phishing.

• Implementa EDR o XDR con análisis de comportamiento, no solo antivirus tradicionales.

💡 En resumen

HttpTroy no es solo “otro malware más”, sino una muestra clara de hacia dónde va el ciberespionaje moderno: ataques silenciosos, persistentes y perfectamente disfrazados.
Y lo preocupante no es solo que existan, sino que podrían pasar desapercibidos en entornos donde la ciberseguridad se deja “para después”.