Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Hackers de Kimsuky usa AppleSeed, Meterpreter y TinyNuke en Ataques

Escrito por Gustavo Sánchez | Jan 5, 2024 4:48:27 PM

En el cambiante panorama de la ciberseguridad, la reciente actividad de los hackers de Kimsuky ha captado la atención de expertos y entusiastas por igual. Con su nueva herramienta, AppleSeed, este grupo, conocido por sus operaciones de ciberespionaje, ha elevado las preocupaciones en el mundo digital.

 

¿Quién es Kimsuky?

 

 

Antes de sumergirnos en AppleSeed, es crucial entender quién está detrás de esta herramienta. Kimsuky, un grupo de hackers originario de Corea del Norte, ha estado activo desde al menos 2012. Son conocidos por sus ataques dirigidos, principalmente hacia objetivos en Corea del Sur, Japón y Estados Unidos, con un interés particular en la recolección de información de inteligencia.

 

También te podrá interesar leer:  Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas

 

El Surgimiento de AppleSeed

 

Se ha reportado que hackers vinculados a Corea del Norte están empleando phishing para distribuir backdoors y herramientas como AppleSeed, Meterpreter y TinyNuke, con el fin de controlar dispositivos comprometidos.

AhnLab, una firma surcoreana de ciberseguridad, identificó a Kimsuky, un grupo de amenazas cibernéticas avanzadas, como responsable de estos actos. "Lo notable de los ataques con AppleSeed es su consistencia en métodos durante años, sin cambios significativos en el malware asociado", explicó el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) en un análisis reciente.

Activo por más de una década, Kimsuky ha focalizado inicialmente a objetivos en Corea del Sur, expandiendo su alcance a otros países desde 2017. Este grupo fue recientemente sancionado por Estados Unidos por recopilar inteligencia en apoyo a Corea del Norte.

Las campañas de espionaje de Kimsuky incluyen phishing con documentos maliciosos que desencadenan la instalación de varias familias de malware. Entre ellas, AppleSeed (también conocido como JamBog) es una destacada backdoor basada en Windows, usada desde 2019 y actualizada con una versión para Android y una nueva variante en Golang llamada AlphaSeed.

 

Te podrá interesar leer:  Protegiendo tu Empresa de los Ataques de Phishing por Emails

 

AppleSeed está diseñado para ejecutar instrucciones de un servidor remoto, descargar payloads y extraer datos sensibles. AlphaSeed comparte funciones con AppleSeed pero difiere en aspectos clave. "AlphaSeed, desarrollado en Golang, usa chromedp para comunicaciones con el servidor [comando y control]", a diferencia de AppleSeed que se basa en HTTP o SMTP, explicó ASEC. Chromedp es una biblioteca de Golang para interactuar con Google Chrome en modo sin cabeza.

Se cree que Kimsuky ha usado AlphaSeed en ataques desde octubre de 2022, en algunos casos entregando AppleSeed y AlphaSeed juntos en el mismo sistema a través de un dropper de JavaScript. El grupo también usa malware como Meterpreter y VNC (incluyendo TightVNC y TinyNuke), permitiéndoles tomar control total de los sistemas afectados.

Este desarrollo ocurre mientras Nisos identificó individuos en LinkedIn y GitHub, presuntamente empleados de TI de Corea del Norte, buscando fraudulentamente trabajo remoto en EE. UU. como fuente de ingresos para el régimen y financiar sus prioridades económicas y de seguridad. Estos individuos buscaban activamente empleos remotos en tecnología, con perfiles enfocados en blockchain y criptomonedas, y a menudo desactivaban sus cuentas rápidamente.

En años recientes, los actores norcoreanos han combinado tácticas innovadoras y explotación de debilidades en cadenas de suministro para atacar empresas de blockchain y criptomonedas, robando propiedad intelectual y activos digitales. La agresividad y variedad de estos ataques subrayan los esfuerzos del país por eludir sanciones internacionales y beneficiarse de actividades ilícitas.

 

Te podrá interesar leer:  Análisis de Malware con Wazuh

 

Medidas de Protección Contra AppleSeed

 

Aunque enfrentar una amenaza como AppleSeed puede parecer desalentador, hay medidas efectivas que se pueden tomar:

 

  1. Educación y Conciencia: Mantenerse informado sobre las últimas tendencias en ciberseguridad es vital. Entrenar a los empleados en buenas prácticas de seguridad puede prevenir muchos ataques.
  2. Actualizaciones de Seguridad: Mantener los sistemas y software actualizados con los últimos parches de seguridad es crucial para protegerse contra vulnerabilidades conocidas.
  3. Monitoreo de Redes: Implementar soluciones de monitoreo de redes puede ayudar a detectar actividades sospechosas y prevenir intrusiones.
  4. Respaldo de Datos: Tener copias de seguridad de datos importantes puede minimizar el daño en caso de un ataque exitoso.

 

La aparición de AppleSeed como una nueva herramienta en el arsenal de Kimsuky es un recordatorio de la constante evolución de las amenazas cibernéticas. Aunque enfrentamos desafíos significativos en el campo de la seguridad en línea, mediante la educación, la preparación y la adaptación continua, podemos mantenernos un paso adelante de los actores maliciosos como Kimsuky. La clave está en una combinación de tecnología avanzada y una cultura sólida de conciencia en seguridad.