Hackers norcoreanos usan GitHub como centro de control en ataques a Corea del Sur

Hackers vinculados a Corea del Norte (DPRK) están utilizando la plataforma GitHub, normalmente usada para desarrollo de software, como infraestructura de comando y control (C2) en ataques dirigidos a organizaciones en Corea del Sur. Esto significa que los atacantes se esconden dentro de una plataforma legítima para controlar las computadoras infectadas, haciendo más difícil su detección.

Cómo funciona el ataque

Según investigadores de Fortinet FortiGuard Labs, el ataque comienza con archivos de acceso directo de Windows (LNK) que parecen inofensivos. Estos archivos LNK están diseñados para soltar un documento PDF falso y un script de PowerShell (una herramienta de automatización de tareas de Windows). Este script prepara el terreno para las siguientes etapas del ataque.

• Los archivos LNK se distribuyen a través de correos electrónicos de phishing (correos engañosos que buscan robar información).
• Al abrir el archivo LNK, la víctima ve el documento PDF mientras el script de PowerShell se ejecuta silenciosamente en segundo plano.
• El script de PowerShell comprueba si hay procesos relacionados con máquinas virtuales, depuradores o herramientas forenses. Si detecta alguno, se detiene para evitar ser analizado.
• Si no detecta nada sospechoso, el script extrae un archivo Visual Basic Script (VBScript) y crea una tarea programada para que el script de PowerShell se ejecute cada 30 minutos, incluso después de reiniciar el sistema.
• El script de PowerShell recopila información sobre el equipo infectado y la envía a un repositorio de GitHub creado con una cuenta falsa (como "motoralis"). Para esto, utiliza un "token" o clave de acceso codificada en el script.
• Finalmente, el script busca un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales.

Quién está detrás del ataque

Se sospecha que el grupo Kimsuky, un grupo de hackers patrocinado por el estado de Corea del Norte, está detrás de estos ataques. Este grupo ya había utilizado GitHub como C2 para distribuir malware como Xeno RAT y MoonPeak en el pasado, según informes de ENKI y Trellix.

Qué técnicas utilizan

Los atacantes están utilizando herramientas nativas de Windows para desplegar el malware, evadir la detección y mantener la persistencia en los sistemas infectados. Esto reduce la necesidad de usar archivos ejecutables (PE) maliciosos y aprovecha herramientas legítimas del sistema operativo (LolBins), lo que dificulta su detección por parte de los antivirus.

Otro ataque similar, detallado por AhnLab, también utiliza archivos LNK para desplegar un backdoor (puerta trasera) basado en Python. En este caso, se utiliza Dropbox como canal de comando y control.

Qué significa esto para ti

Este tipo de ataques demuestra que los hackers están buscando nuevas formas de esconderse y controlar los sistemas infectados. Es fundamental estar atento a los correos electrónicos sospechosos, no abrir archivos adjuntos de remitentes desconocidos y mantener el software actualizado. Las empresas deben monitorear el uso de herramientas como PowerShell y vigilar la actividad inusual en sus redes.