Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Hackers Norcoreanos usan GitHub y Archivos LNK para Espiar

Escrito por Levi Yoris | Sep 11, 2025 1:00:00 PM

El grupo de hackers Kimsuky, vinculado a Corea del Norte, ha dado un paso más en sus operaciones cibernéticas. Ahora están utilizando repositorios de GitHub como plataforma para distribuir malware y robar información, lo que representa una evolución sofisticada en sus tácticas.

¿La novedad? Aprovechan archivos LNK maliciosos (accesos directos de Windows) disfrazados de facturas electrónicas. Lo que para ti podría parecer un documento PDF inofensivo, en realidad es el inicio de una cadena de ataque que puede comprometer por completo tu equipo.

En TecnetOne analizamos esta campaña porque marca un ejemplo claro de cómo los ciberdelincuentes logran usar infraestructuras legítimas para evadir controles de seguridad y mantener un acceso persistente a los sistemas comprometidos.

 

¿Cómo empieza el ataque?

 

El punto de partida es un archivo ZIP que contiene un acceso directo con un nombre atractivo, por ejemplo: 전자세금계산서.pdf.lnk (que en coreano significa “factura electrónica”).

Cuando abres ese acceso directo, se ejecuta un comando de PowerShell. Desde ahí, el malware descarga y ejecuta más scripts alojados en repositorios privados de GitHub controlados por los atacantes.

Ese primer payload establece la base para:

 

  1. Recolectar datos de forma sistemática.

 

  1. Mantener persistencia a largo plazo en tu sistema.

 

Uso de GitHub como plataforma maliciosa

 

Los investigadores de S2W descubrieron al menos nueve repositorios privados vinculados con esta campaña. Entre ellos había nombres como group_0717, hometax o group_0803.

Lo más sorprendente es que los atacantes incluyeron tokens privados de GitHub directamente en sus scripts de PowerShell. Esto les permitió acceder a los repositorios de manera segura y planificada, demostrando un alto nivel de preparación operativa.

Incluso el historial de commits reveló direcciones de correo asociadas con los atacantes, como sahiwalsuzuki4[@]gmail.com.

 

Títulos relacionados: GitHub fortalece seguridad con rotación de claves ante riesgo

 

Persistencia avanzada

 

Una vez que el malware infecta el equipo, ejecuta un script llamado main.ps1 que crea otro archivo en la carpeta %AppData% con el nombre MicrosoftEdgeUpdate.ps1.

Después, programa una tarea automática llamada BitLocker MDM policy Refresh que se ejecuta cada 30 minutos tras un retraso inicial de 5 minutos. ¿El objetivo? Seguir descargando y ejecutando scripts nuevos desde GitHub de forma indefinida, garantizando que el atacante mantenga acceso al sistema incluso si cambias contraseñas o cierras sesiones.

 

Gestión dinámica de scripts y robo de información

 

El malware no solo se limita a ejecutar código: también emplea un sistema dinámico para gestionar los scripts y organizar los datos robados.

 

  1. Descarga un archivo llamado real.txt desde GitHub.

 

  1. Sustituye valores ficticios por identificadores únicos con marca de tiempo, como ntxBill_{MMdd_HHmm}.

 

  1. Reenvía el archivo modificado al repositorio, creando carpetas organizadas por fecha y hora.

 

Este mecanismo permite a los atacantes llevar un control ordenado de cada infección, gestionar múltiples equipos comprometidos a la vez y crear una base de inteligencia muy detallada.

 

¿Qué datos roba este malware?

 

El componente espía recopila prácticamente todo lo que puede encontrar:

 

  1. Dirección IP.

 

  1. Tiempos de arranque del sistema.

 

  1. Versión del sistema operativo.

 

  1. Especificaciones del hardware.

 

  1. Tipo de dispositivo.

 

  1. Fecha de instalación del sistema.

 

  1. Procesos en ejecución.

 

Toda esta información se guarda en archivos de registro que luego son subidos a los repositorios de los atacantes. Es como si ellos tuvieran un “panel de control” con un inventario completo de los equipos infectados.

 

¿Por qué es tan peligroso este ataque?

 

Este tipo de campañas son preocupantes por varias razones:

 

  1. Uso de infraestructuras legítimas: GitHub es una plataforma confiable, lo que dificulta a los sistemas de seguridad bloquear las conexiones.

 

  1. Persistencia automática: el malware se actualiza constantemente, lo que garantiza un control duradero.

 

  1. Organización del robo de datos: cada infección queda registrada con precisión, lo que aumenta el valor de la información para espionaje o ciberataques dirigidos.

 

Para un atacante, este modelo es escalable y fácil de mantener. Para una empresa, representa un riesgo enorme de filtraciones prolongadas y silenciosas.

 

Lee más: Ciberataque a la Cadena de Suministro en GitHub Actions

 

Lecciones para ti y tu empresa

 

Desde TecnetOne siempre recalcamos que el principal riesgo no es solo la sofisticación de los atacantes, sino la falta de preparación.

¿Qué deberías hacer frente a amenazas como esta?

 

  1. Capacitar a tu equipo. Muchos ataques empiezan con un simple clic en un archivo ZIP o un enlace disfrazado.

 

  1. Monitorear el uso de PowerShell. Es una herramienta legítima, pero también es uno de los vectores más usados para ejecutar malware.

 

  1. Adoptar seguridad basada en comportamiento. El malware puede disfrazarse, pero sus patrones de actividad (como crear tareas programadas sospechosas) son detectables si tienes las herramientas correctas.

 

  1. Aplicar políticas de control de aplicaciones. Restringir la ejecución de accesos directos desconocidos o de scripts no firmados es clave.

 

  1. Contar con planes de respuesta a incidentes. Si un equipo se compromete, lo importante es aislarlo y reaccionar rápido para evitar una filtración masiva.

 

El papel de socios estratégicos

 

Ante amenazas cada vez más sofisticadas, no basta con confiar solo en las herramientas básicas de seguridad. En TecnetOne colaboramos con empresas líderes en ciberseguridad para ofrecerte soluciones que incluyen:

 

  1. Monitoreo avanzado de endpoints con detección de comportamiento anómalo.

 

  1. Respaldo seguro de datos con recuperación rápida ante incidentes.

 

  1. Simulaciones de ataques (Red Teaming) para detectar debilidades antes que los atacantes.

 

  1. Respuesta a incidentes 24/7, para limitar daños y recuperar la operación lo más rápido posible.

 

Conclusión: una amenaza que no puedes ignorar

 

El caso de Kimsuky demuestra cómo los grupos de hackers patrocinados por estados están perfeccionando sus técnicas para evadir controles y obtener acceso prolongado a sistemas críticos. El uso de GitHub como repositorio de malware es un ejemplo claro de cómo los atacantes se apoyan en infraestructuras confiables para pasar desapercibidos.

Protegerte ya no es opcional: necesitas combinar prevención, monitoreo y reacción inmediata. En TecnetOne estamos listos para ayudarte a reforzar tu estrategia de ciberseguridad, porque sabemos que cada minuto cuenta cuando se trata de detener un ataque.

 
Ver post completo