Puentes Invisibles: Hackers norcoreanos descifran el código del air-gap

En el mundo sombrío del ciberespionaje, las computadoras aisladas por air-gap han sido durante mucho tiempo el equivalente digital de una fortaleza: físicamente aisladas, inalcanzables para los hackers comunes y protegidas del caos de Internet. Pero una investigación reciente revela que el APT37 de Corea del Norte, también conocido como ScarCruft, ha encontrado la manera de infiltrarse incluso en estos sistemas de alta seguridad. Su nueva campaña, apodada “Ruby Jumper”, está reescribiendo las reglas de la guerra cibernética, utilizando malware astuto y unidades extraíbles para vulnerar lo que antes era invulnerable.

Rompiendo el Air Gap

Los sistemas air-gapped - computadoras desconectadas de cualquier red externa - son la columna vertebral de infraestructuras críticas, operaciones militares e investigaciones sensibles. Su aislamiento se refuerza tanto por hardware (eliminando Wi-Fi, Bluetooth y Ethernet) como por controles de software, haciendo que los ciberataques directos sean casi imposibles. Pero la última operación de APT37 demuestra que la separación física ya no garantiza seguridad.

La infección comienza con un archivo de acceso directo (LNK) de Windows aparentemente inofensivo. Al abrirlo, ejecuta silenciosamente un script de PowerShell, extrae malware oculto y muestra un documento señuelo: una traducción al árabe de un artículo de noticias norcoreano sobre el conflicto Palestina-Israel. El implante inicial, RESTLEAF, se conecta a los servidores de comando y control de APT37 utilizando Zoho WorkDrive, obteniendo cargas útiles cifradas adicionales.

El ataque se intensifica cuando el cargador SNAKEDROPPER instala un entorno de programación Ruby disfrazado. Al reemplazar archivos legítimos de Ruby por versiones maliciosas, los atacantes aseguran que su código se ejecute automáticamente, evadiendo sospechas. La puerta trasera THUMBSBD luego escanea unidades USB, crea directorios ocultos y copia archivos sensibles, transformando los medios extraíbles en mensajeros encubiertos entre computadoras air-gapped y conectadas a Internet.

VIRUSTASK, otro componente del malware, arma aún más las unidades USB - reemplazando archivos genuinos por accesos directos maliciosos diseñados para infectar nuevos sistemas. La campaña no se detiene ahí: un spyware conocido como FOOTWINE, disfrazado de APK de Android, permite el registro de teclas, capturas de pantalla, grabación de audio/video y comandos remotos. El uso de BLUELIGHT, una puerta trasera vinculada a actores de amenazas norcoreanos, confirma el origen de la campaña.

Si bien los objetivos exactos permanecen sin revelar, el uso de medios norcoreanos como señuelo sugiere un grupo de víctimas interesado en narrativas geopolíticas - posiblemente funcionarios gubernamentales, investigadores o diplomáticos.

Conclusión

La campaña Ruby Jumper es una advertencia contundente: ningún sistema está realmente aislado. Al explotar el factor humano y la humilde unidad USB, APT37 demuestra que incluso los entornos más seguros son vulnerables. A medida que las redes air-gapped se convierten en nuevos campos de batalla, los defensores deben replantearse qué significa estar “desconectado”.

WIKICROOK

• Air: Un entorno air-gapped es una computadora o red físicamente aislada, desconectada de redes no seguras para proteger datos sensibles de amenazas cibernéticas.
• Command: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
• PowerShell Script: Un script de PowerShell es un conjunto automatizado de comandos para computadoras Windows, usado para gestionar o modificar sistemas - a veces explotado por atacantes.
• Backdoor: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
• Removable Media: Los medios extraíbles son dispositivos de almacenamiento portátiles, como unidades USB, usados para transferir datos entre computadoras, pero pueden introducir riesgos de ciberseguridad.