13 de abril de 2026

APT37 de Corea del Norte usa Facebook para distribuir malware RokRAT

APT37 de Corea del Norte usa Facebook para distribuir malware RokRAT

Un grupo de hackers norcoreano está utilizando Facebook para engañar a usuarios e infectarlos con un programa espía llamado RokRAT. Los atacantes se hacen amigos de sus objetivos y, una vez que se ganan su confianza, los convencen de instalar un software malicioso.

Cómo funciona el ataque

El grupo de hackers, conocido como APT37 (también llamado ScarCruft), crea perfiles falsos en Facebook con ubicaciones en Corea del Norte. Luego, agregan a personas como amigos y entablan conversaciones. El objetivo es persuadir a las víctimas para que descarguen un visor de PDF modificado. Este visor, en realidad, esconde un código malicioso (shellcode) que permite a los atacantes acceder al sistema de la víctima.

  • Los atacantes usan cuentas falsas de Facebook con nombres como "richardmichael0828" y "johnsonsophia0414".
  • Mueven la conversación a Messenger y luego a Telegram para enviar un archivo ZIP.
  • El archivo ZIP contiene una versión manipulada del programa Wondershare PDFelement junto con documentos PDF falsos.
  • Cuando la víctima instala el visor de PDF falso, se ejecuta el código malicioso que permite a los atacantes controlar su computadora.

Además, los hackers utilizan servidores de control (C2), que son computadoras que usan para enviar comandos y recibir información de los equipos infectados, utilizando infraestructura legítima comprometida. En este caso, usaron un sitio web asociado a una empresa japonesa de bienes raíces en Seúl.

El malware RokRAT tiene la capacidad de tomar capturas de pantalla, ejecutar comandos de forma remota, recopilar información del sistema y evitar ser detectado por programas de seguridad.

A quién afecta

Este ataque parece estar dirigido a personas de interés para Corea del Norte, aunque no se especifican las profesiones o datos demográficos concretos en el reporte.

Qué significa esto para ti

Este ataque demuestra que incluso las redes sociales pueden ser utilizadas para distribuir malware. Es importante ser cauteloso con las solicitudes de amistad de personas desconocidas y evitar descargar software de fuentes no confiables. Siempre verifica la autenticidad de los programas antes de instalarlos y mantén tu software de seguridad actualizado.

Fuente: https://www.genians.co.kr/en/blog/threat_intelligence/pretexting
← Anterior Campaña de Hackeo Selectivo 'Bitter-Link...
Escrito por:
Luis Carreón
📰 Otras noticias del día
OpenAI retira certificado de apps para macOS tras incidente de seguridad
¡Cuidado! Hackers infectan programas populares CPU-Z y HWMonitor con virus STX RAT
¡Alerta! Fallo crítico en Adobe Acrobat Reader está siendo aprovechado por hackers
Detectan falla 'día cero' en Adobe Reader: ¡Cuidado con los PDFs maliciosos!
Campaña de Hackeo Selectivo 'Bitter-Linked' Apunta a Periodistas en Oriente Medio y Norte de África
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio