Netcrook Logo
👤 AGONY
🗓️ 13 Apr 2026   🌍 Asia

Los camaleones digitales de Corea del Norte: cómo APT37 secuestra la confianza, las herramientas y la nube

El último ciberataque de APT37 entrelaza ingeniería social con software armado y trucos en la nube para obtener secretos de defensa.

En una mañana tranquila, un funcionario de defensa recibe una solicitud de amistad en Facebook de alguien que dice ser un contacto norcoreano. La conversación pronto se traslada a Telegram, donde el “contacto” ofrece acceso a documentos cifrados sobre armamento - siempre y cuando el funcionario instale un visor especial de PDF. Lo que el funcionario no sabe: este simple acto abre la puerta a una de las campañas de ciberespionaje más sofisticadas del año, orquestada por el infame grupo norcoreano APT37.

APT37, también conocido como “Reaper”, ha sido durante mucho tiempo una fuerza en las sombras del ciberespionaje. Su última campaña, descubierta por Genians Security Center, pone de relieve una escalofriante evolución en sus tácticas. Los atacantes comenzaron creando cuentas de Facebook haciéndose pasar por funcionarios norcoreanos de Pyongyang y Pyeongtaek. Tras entablar amistad y conversar con objetivos cuidadosamente seleccionados, trasladaron las conversaciones a Telegram bajo el pretexto de una mayor seguridad.

La verdadera trampa se activó cuando los atacantes enviaron un archivo ZIP protegido por contraseña. Dentro: un instalador manipulado de Wondershare PDFelement disfrazado como un visor legítimo de PDF, junto con documentos señuelo de temática militar y ortografía norcoreana para reforzar la autenticidad. A diferencia del software genuino, este instalador carecía de una firma digital válida - una señal de alerta sutil pero crucial.

Bajo la superficie, el código del instalador fue manipulado con destreza. Un shellcode oculto redirigía la ejecución para lanzar dism.exe de Windows, inyectando una carga descifrada directamente en su memoria. Esta carga no solo imitaba actividad legítima - se camuflaba en cada paso, obteniendo instrucciones adicionales de un sitio web japonés de bienes raíces que simulaba ser un archivo de imagen. Cada capa del ataque utilizaba múltiples rondas de cifrado para evitar la detección, culminando en una cadena de infección completamente fileless y de múltiples etapas.

La carga final era una variante de RokRAT, la notoria puerta trasera de APT37. RokRAT se especializa en mapear su entorno en silencio, robar archivos sensibles, capturar pantallas y recolectar grabaciones de audio. El comando y control se gestionaba a través de la API de Zoho WorkDrive, mimetizándose con el tráfico de red empresarial habitual y haciendo que la presencia de los atacantes fuera casi invisible para las defensas tradicionales.

Lo que distingue a esta campaña es la fusión impecable de ingeniería social, sofisticación técnica y explotación de la nube. Los atacantes aprovecharon la confianza, abusaron de software legítimo y ocultaron sus operaciones a plena vista - demostrando por qué las soluciones de seguridad basadas solo en firmas ya no son suficientes. Solo la detección y respuesta avanzada basada en el comportamiento (EDR) puede aspirar a detectar amenazas tan complejas y en capas.

La última operación de APT37 es un recordatorio contundente: en el mundo de la ciberguerra, incluso una charla amistosa o la instalación rutinaria de un archivo pueden ser el primer movimiento en un juego de espionaje de alto riesgo. A medida que los atacantes se adaptan e innovan, los defensores deben hacer lo mismo - o arriesgarse a ser superados por camaleones digitales que se esconden en lo cotidiano.

WIKICROOK

  • Shellcode: El shellcode es un pequeño programa inyectado por atacantes para ejecutar comandos o descargar más malware, a menudo utilizado para explotar vulnerabilidades en los sistemas.
  • Inyección de procesos: La inyección de procesos ocurre cuando el malware se oculta dentro de procesos de software legítimos, dificultando que las herramientas de seguridad detecten y eliminen la amenaza.
  • Malware fileless: El malware fileless es software malicioso que se ejecuta en la memoria del ordenador, evitando el almacenamiento en disco y dificultando su detección por herramientas de seguridad tradicionales.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Detección y respuesta en el endpoint (EDR): La detección y respuesta en el endpoint (EDR) son herramientas de seguridad que monitorizan los ordenadores en busca de actividad sospechosa, pero pueden pasar por alto ataques basados en el navegador que no dejan archivos.
APT37 cyber espionage social engineering
AGONY AGONY
Elite Offensive Security Commander
← Back to news