Netcrook Logo
👤 AGONY
🗓️ 23 Dec 2025   🌍 Asia

Engaño Guionado: Hackers norcoreanos se hacen pasar por guionistas de TV en sofisticada operación de malware

El grupo de ciberespionaje APT37 explota identidades mediáticas de confianza y trucos técnicos avanzados para infiltrarse en objetivos surcoreanos.

Imagina recibir un correo electrónico del productor de tu programa coreano favorito, invitándote a una entrevista exclusiva o a una oportunidad de casting. Para muchos periodistas y académicos en Corea del Sur, este escenario se volvió una realidad escalofriante - no un avance profesional, sino el acto inicial de una campaña de ciberespionaje respaldada por el Estado.

Datos Rápidos

  • El grupo APT37 (Reaper) de Corea del Norte está detrás de la campaña “Artemis”, dirigida a periodistas e investigadores surcoreanos.
  • Los atacantes se hicieron pasar por guionistas de TV, enviando archivos maliciosos de Hangul Word Processor (HWP) con malware.
  • Los documentos maliciosos emplearon carga lateral de DLL y cifrado para desplegar la herramienta espía RoKRAT.
  • Las comunicaciones de comando y control se canalizaron a través de Yandex Cloud, con sede en Rusia, ocultando el origen de la operación.
  • Los investigadores hallaron infraestructura reutilizada que vincula esta campaña con operaciones previas de APT37.

La campaña, descubierta por Genians Security Center y bautizada “Artemis”, demuestra una auténtica clase magistral de ingeniería social. Los hackers norcoreanos se hicieron pasar por guionistas de destacados programas de TV coreanos, contactando a periodistas, académicos y expertos políticos surcoreanos. ¿Su objetivo? Ganarse la confianza mediante un diálogo creíble - y luego entregar un caballo de Troya digital.

Tras varios intercambios convincentes, los atacantes enviaron archivos HWP disfrazados de formularios de entrevista o guías de eventos. Ocultos en estos documentos había objetos OLE maliciosos que, al abrirse, depositaban ejecutables aparentemente legítimos como Volumeid1.exe y vhelp.exe. Pero el verdadero peligro acechaba en las sombras: un archivo DLL manipulado, colocado junto a estos ejecutables, se cargaba para desatar la siguiente fase del ataque.

Esta técnica - carga lateral de DLL - permitía que el malware se ejecutara dentro de aplicaciones de confianza, eludiendo la detección de los antivirus tradicionales. Una vez activo, el DLL malicioso descifraba capas de código cifrado para ejecutar RoKRAT, una notoria herramienta de espionaje utilizada para robar datos y vigilar sistemas comprometidos.

Lo que distinguió a “Artemis” fue su uso de Yandex Cloud, con sede en Rusia, para gestionar las comunicaciones de comando y control. Al aprovechar servicios legítimos en la nube, APT37 ocultó su tráfico entre la actividad normal de internet, dificultando enormemente la detección y atribución. Los investigadores rastrearon tokens de Yandex reutilizados y los vincularon a campañas previas de APT37, confirmando un patrón de compartición de infraestructura y consistencia operativa.

Los expertos advierten que este enfoque híbrido - que combina engaño social, sofisticación técnica y ofuscación en la nube - refleja la creciente madurez de APT37. La firma de la campaña: explotar tanto la confianza humana como la tecnológica para eludir medidas de seguridad y mantener acceso persistente a objetivos de alto valor.

A medida que el ciberespionaje se entrelaza cada vez más con la comunicación cotidiana, “Artemis” se erige como un recordatorio contundente: en un mundo donde los actores de amenazas se ponen la máscara de figuras de confianza, la vigilancia y la preparación técnica son nuestras mejores defensas. Para las instituciones surcoreanas y más allá, el guion de la ciberguerra se está reescribiendo - un correo electrónico a la vez.

WIKICROOK

  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de largo plazo por grupos expertos, a menudo respaldados por Estados, que buscan robar datos o interrumpir operaciones.
  • Carga lateral de DLL: La carga lateral de DLL es una técnica en la que los atacantes engañan a los programas para que carguen archivos DLL maliciosos, eludiendo la seguridad y obteniendo acceso o control no autorizado.
  • Objeto OLE: Un objeto OLE incrusta o vincula datos en documentos. Los ciberdelincuentes los explotan para ocultar malware en archivos, representando riesgos significativos de ciberseguridad.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Cifrado (XOR): El cifrado XOR oculta datos aplicando la operación XOR con una clave, haciendo la información ilegible sin la clave correcta. Es simple pero no muy seguro.
North Korea Cyber-espionage APT37
AGONY AGONY
Elite Offensive Security Commander
← Back to news