El grupo de ciberespionaje APT37, muy conocido en el mundo del cibercrimen, ha puesto en marcha una nueva campaña dirigida que evidencia hasta qué punto los ataques actuales han evolucionado hacia modelos más discretos, persistentes y difíciles de detectar. En esta ocasión, APT37 han aprovechado plataformas de uso cotidiano como Facebook y Telegram para acercarse a sus víctimas y preparar el terreno antes de desplegar el malware.
La operación, analizada por el Genians Security Center, se basa en una estrategia de ingeniería social altamente personalizada. Los atacantes comienzan enviando solicitudes de amistad desde perfiles aparentemente legítimos, que aseguran estar ubicados en ciudades como Pyongyang o Pyeongtaek. Una vez establecida la conexión, inician conversaciones adaptadas a cada objetivo, lo que les permite generar confianza de forma progresiva.
El siguiente paso consiste en trasladar la conversación a Telegram bajo el argumento de utilizar un canal más seguro. Es en ese momento cuando se introduce el elemento clave del ataque.
Un falso visor PDF como puerta de acceso
Los ciberdelincuentes ofrecen supuestos documentos confidenciales relacionados con armamento o cuestiones militares, protegidos con contraseña. Para acceder a ellos, indican que es necesario instalar un visor PDF específico.
Ese supuesto visor es, en realidad, un instalador manipulado del conocido software Wondershare PDFelement. El archivo mantiene una apariencia legítima e incluso ejecuta el proceso de instalación habitual, pero ha sido alterado para incluir código malicioso. La modificación es mínima en apariencia, lo que dificulta su detección, pero suficiente para ejecutar una cadena de infección compleja en segundo plano.
El ataque destaca especialmente por su nivel técnico a la hora de llevarse a cabo. En lugar de desplegar directamente un malware visible, el instalador lanza un proceso legítimo del sistema operativo Windows y utiliza técnicas de inyección de código para introducir en él la carga maliciosa. De este modo, el ataque se oculta dentro de procesos aparentemente normales, evitando levantar alertas en soluciones de seguridad convencionales.
Además, el código malicioso se descarga desde internet disfrazado como si fuera una imagen, aunque en realidad contiene datos cifrados que se descodifican en varias fases. Este enfoque permite a los atacantes ejecutar el malware completamente en memoria, sin dejar archivos evidentes en el sistema.
Robo de información y control del dispositivo
El resultado final es la instalación de una puerta trasera similar a RokRAT, una herramienta previamente asociada a APT37. Este tipo de malware permite a los atacantes acceder a información sensible del dispositivo comprometido, desde documentos y datos del sistema hasta capturas de pantalla o grabaciones de audio.
Otro aspecto relevante en este tipo de ataques es el uso de servicios legítimos para ocultar la comunicación con los servidores de control. En este caso, el malware emplea la plataforma en la nube Zoho WorkDrive para enviar la información robada, mezclando el tráfico malicioso con el tráfico habitual de la organización.
Un modelo de ciberespionaje cada vez más sofisticado
La campaña confirma una tendencia creciente en el ciberespionaje moderno. Los atacantes ya no dependen únicamente de vulnerabilidades técnicas, sino que combinan ingeniería social avanzada con técnicas de evasión cada vez más sofisticadas.
Los investigadores también señalan varios indicios que refuerzan la atribución país de Corea del Norte, como el uso del idioma coreano con variantes propias del país, la creación simultánea de cuentas en redes sociales o el empleo de infraestructuras ya vinculadas a campañas anteriores del mismo grupo.
Este tipo de operaciones plantea un desafío significativo para las organizaciones, especialmente aquellas vinculadas a sectores sensibles como defensa o tecnología. Las soluciones tradicionales basadas en firmas resultan insuficientes frente a amenazas que no dejan huellas claras en el sistema.
