Distintos informes recientes de Fortinet FortiGuard Labs, AhnLab y S2W revelan una evolución significativa en las tácticas de grupos APT presuntamente vinculados a Corea del Norte, como Kimsuky y ScarCruft. Estas operaciones se apoyan cada vez más en servicios en la nube legítimos, como GitHub y Dropbox, utilizados como infraestructura de mando y control (C2) para ocultar campañas dirigidas principalmente contra organizaciones de Corea del Sur, pero con implicaciones globales.
Cadena de ataque basada en LNK malicioso, PowerShell y GitHub como C2
En las campañas analizadas por FortiGuard Labs, el vector inicial es un archivo LNK malicioso de Windows, distribuido previsiblemente mediante correos de phishing. Al ejecutarse, el acceso directo abre un falso documento PDF para no despertar sospechas, mientras que en segundo plano ejecuta un script de PowerShell que inicia la cadena completa de compromiso.
Este script realiza primero técnicas anti‑análisis: busca procesos asociados con máquinas virtuales, depuradores y herramientas forenses. Si detecta un entorno de análisis, se cierra inmediatamente, lo que complica el trabajo de los equipos de respuesta y de los laboratorios de malware.
Si las comprobaciones son satisfactorias, el script extrae un VBScript y configura la persistencia mediante una tarea programada de Windows que ejecuta la carga útil de PowerShell cada 30 minutos en modo oculto. Así, los atacantes mantienen acceso al equipo incluso tras reinicios y reducen la probabilidad de detección por soluciones de seguridad tradicionales.
GitHub como canal de mando y control encubierto
Una vez consolidada la persistencia, el malware de PowerShell realiza un perfilado del sistema comprometido, recopilando información sobre el equipo, el software instalado y el entorno de ejecución. Los datos se registran en un archivo de log y se envían a un repositorio de GitHub asociado a la cuenta «motoralis», usando un token de acceso embebido en el código.
Los investigadores también han identificado cuentas relacionadas, como «God0808RAMA», «Pigresy80», «entire73», «pandora0009», «brandonleeodd93-blip». Desde el mismo repositorio, el script descarga archivos adicionales que contienen módulos y nuevas instrucciones C2. Este enfoque permite que el tráfico de mando y control se confunda con actividades legítimas de desarrollo en GitHub, dificultando los bloqueos a nivel de red sin afectar al negocio.
Segundo vector: backdoor en Python y Dropbox como infraestructura C2
Un segundo conjunto de campañas, documentado por AhnLab y también atribuido a Kimsuky, emplea una cadena de infección basada igualmente en archivos LNK y PowerShell, pero utiliza Dropbox como canal de C2. El script inicial crea el directorio oculto «C:\windirr», donde deposita la carga útil, un PDF falso y un nuevo LNK que imita un documento del procesador Hangul Word Processor (HWP).
Componentes intermedios se encargan de la persistencia y de lanzar otro script de PowerShell, que se conecta a Dropbox para descargar un archivo por lotes (BAT). Este BAT obtiene dos fragmentos de un archivo ZIP desde el dominio «quickcon[.]store», los combina en un solo archivo, extrae una tarea del Programador de tareas en formato XML y un backdoor escrito en Python, instanciado mediante la tarea programada.
El implante de Python ofrece un amplio conjunto de capacidades post‑explotación: descarga y ejecución de módulos adicionales, ejecución de comandos de shell, listado de directorios, carga y eliminación de archivos, y lanzamiento de scripts BAT, VBScript y ejecutables. En la práctica, proporciona a los atacantes una plataforma flexible para moverse lateralmente, desplegar más herramientas y consolidar el control dentro de la red comprometida.
Aumento de LOLBins y cambio táctico hacia RokRAT y OLE en HWP
Fortinet señala que versiones previas de estas campañas distribuían Xeno RAT y su variante MoonPeak a través de LNK maliciosos, también gestionados vía GitHub y vinculados a Kimsuky por firmas como ENKI y Trellix. La tendencia actual, sin embargo, es reducir el uso de binarios pesados y apoyarse en herramientas nativas de Windows (LOLbins) como PowerShell, wscript o schtasks para el despliegue, la evasión y la persistencia, lo que complica sobremanera la detección basada en firmas.
En paralelo, investigadores de S2W han observado que la APT ScarCruft está sustituyendo sus antiguas cadenas basadas en LNK por documentos HWP que contienen objetos OLE maliciosos para entregar RokRAT, un troyano de acceso remoto utilizado de forma exclusiva por este grupo. El código malicioso se oculta como objeto OLE y se ejecuta mediante técnicas de DLL side‑loading, asistido por dárpers y loaders específicamente diseñados para entregar el shellcode y la carga útil de RokRAT.
Recomendaciones clave para defenderse del abuso de GitHub y Dropbox como C2
Ante esta evolución táctica, se recomienda a las organizaciones endurecer el uso de intérpretes de scripts y utilidades nativas de Windows. Medidas como restringir PowerShell (por ejemplo, mediante Constrained Language Mode), habilitar el registro avanzado de scripts (Script Block Logging), controlar wscript y schtasks, e implantar soluciones EDR capaces de detectar comportamiento anómalo son fundamentales para cortar la cadena de ataque en sus primeras fases.
Es importante establecer políticas estrictas sobre archivos LNK recibidos por correo electrónico y sobre adjuntos que simulan ser documentos PDF o HWP. La filtración por tipo de fichero, el análisis en sandboxes para adjuntos sospechosos y la formación continua de los empleados en detección de phishing reducen de forma significativa la superficie de ataque inicial.
Asimismo, se debe monitorizar carefully el uso corporativo de servicios en la nube como GitHub y Dropbox. El uso de proxys y soluciones DLP para inspeccionar el tráfico, la detección de tokens de acceso inusuales, el análisis de repositorios y cuentas no corporativas, así como la revisión periódica de las tareas programadas en los equipos, ayudan a identificar intentos de abuso de infraestructura legítima para actividades C2.
La adopción por parte de grupos norcoreanos de plataformas masivas como GitHub y Dropbox, junto con el uso intensivo de LOLBins y documentos HWP con OLE maliciosos, confirma que las APT seguirán explotando herramientas legítimas para maximizar la furtividad. Las organizaciones que prioricen el análisis automatizado de scripts, el monitoreo avanzado de servicios en la nube y la concienciación de su personal estarán en mejores condiciones de detectar y contener este tipo de operaciones antes de que se conviertan en incidentes críticos.
