El grupo de hackers norcoreano rastreado como APT37 (también conocido como ScarCruft) ha sido atribuido a una nueva campaña de ingeniería social de múltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creación de confianza en un canal de entrega para un troyano de acceso remoto llamado RokRAT.

«El actor de amenazas utilizó dos cuentas de Facebook con su ubicación establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y examinar objetivos», dijo el Centro de Seguridad Genians (GSC) dicho en un desglose técnico de la campaña. «Después de generar confianza a través de solicitudes de amistad, el actor trasladó la conversación a Messenger y utilizó temas específicos para atraer objetivos como parte de la etapa inicial de ingeniería social del ataque».

Un elemento central del ataque es el uso de lo que el GSC describe como pretexto, una táctica en la que los actores de la amenaza pretenden engañar a los usuarios desprevenidos para que instalen un visor de PDF dedicado, alegando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infección es una versión manipulada de Wondershare PDFelement que, cuando se inicia, desencadena la ejecución de un código shell incrustado que permite a los atacantes obtener un punto de apoyo inicial.

Otro aspecto importante de la campaña es que utiliza infraestructura legítima pero comprometida para comando y control (C2), utilizando como arma el sitio web asociado con el brazo de Seúl de un servicio de información inmobiliaria japonés para emitir comandos y cargas útiles maliciosas. Es más, la carga útil toma la forma de una imagen JPG aparentemente inofensiva para entregar RokRAT.

«Esto se considera una estrategia altamente evasiva que combina la manipulación de software legítimo, el abuso de un sitio web legítimo y el enmascaramiento de extensiones de archivos», dijo el GSC.

En la secuencia de ataque detallada por la compañía de ciberseguridad de Corea del Sur, se descubrió que los actores de amenazas crearon dos cuentas de Facebook, «richardmichael0828» y «johnsonsophia0414», ambas creadas el 10 de noviembre de 2025, y entregaron un archivo ZIP después de mover la conversación a Telegram, con el archivo que contiene la versión troyanizada de Wondershare PDFelement junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los archivos PDF.

El código shell cifrado ejecutado después del lanzamiento del instalador manipulado le permite establecer comunicación con el servidor C2 («japanroom[.]com») y descargue una carga útil de segunda etapa, una imagen JPG («1288247428101.jpg») que luego se utiliza para la carga útil final de RokRAT.

El malware, por su parte, abusa de Zoho WorkDrive como C2, una táctica también detallada por Zscaler ThreatLabz en febrero de 2026 como parte de una campaña con nombre en código Ruby Jumper, lo que le permite capturar capturas de pantalla, permitir la ejecución remota de comandos a través de «cmd.exe», recopilar información del host, realizar reconocimiento del sistema y evadir la detección de programas de seguridad como 360 Total Security de Qihoo, mientras disfraza el tráfico malicioso.

«Su funcionalidad principal se ha mantenido relativamente estable y se ha reutilizado repetidamente en múltiples operaciones a lo largo del tiempo», dijo el GSC. «Esto muestra que RokRAT se ha centrado menos en cambiar su funcionalidad principal y más en evolucionar su cadena de entrega, ejecución y evasión».

Los investigadores de ciberseguridad han señalado otra evolución más de la actual gusano de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

La técnica ha sido descubierta en una extensión Open VSX llamada «specstudio.code-wakatime-actividad-rastreador«, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para descargar.

«La extensión […] envía un binario nativo compilado por Zig junto con su código JavaScript», dijo el investigador de Aikido Security, Ilyas Makari. dicho en un análisis publicado esta semana.

«Esta no es la primera vez que GlassWorm recurre al uso código compilado nativo en extensiones. Sin embargo, en lugar de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema».

La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un binario llamado «win.node» en sistemas Windows y «mac.node», un binario Mach-O universal si el sistema ejecuta Apple macOS.

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.

Luego, el binario descarga una extensión maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub. La extensión, llamada «floktokbok.autoimport», se hace pasar por «esteoteatos.autoimport,» una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un gotero que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.

Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman un compromiso y roten todos los secretos.

Una operación con motivación financiera cuyo nombre en código REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas.

«Más allá de la criptominería, el actor de amenazas monetiza las infecciones a través del fraude CPA (costo por acción), dirigiendo a las víctimas a páginas de contenido bajo la apariencia de registro de software», afirman los investigadores de Elastic Security Labs, Jia Yu Chan, Cyril François y Remco Sprooten. dicho en un análisis publicado esta semana.

También se ha descubierto que iteraciones recientes de la campaña entregan un implante .NET previamente no documentado con nombre en código CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infección para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones explícitas para que el usuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecución de aplicaciones no reconocidas haciendo clic en «Más información» y «Ejecutar de todos modos».

El cargador está diseñado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para pasar desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usuario se le muestra un mensaje de error: «No se puede iniciar la aplicación. Es posible que su sistema no cumpla con las especificaciones requeridas. Comuníquese con el soporte».

CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas útiles adicionales, actualizarse, desinstalar y realizar acciones de limpieza para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.

Otras campañas montadas por el actor de amenazas han aprovechado señuelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el último de los cuales llega a una URL codificada para extraer la configuración de minería y lanzar la carga útil del minero.

Como se observó recientemente en la campaña FAUX#ELEVATE, se abusa de «WinRing0x64.sys», un controlador de kernel de Windows legítimo, firmado y vulnerable, para obtener acceso al hardware a nivel de kernel y modificar la configuración de la CPU para aumentar las tasas de hash, permitiendo así mejorar el rendimiento. El uso del conductor ha sido observado en muchos campañas de criptojacking a lo largo de los años. La funcionalidad era agregado a los mineros XMRig en diciembre de 2019.

Elastic dijo que también identificó otra campaña que conduce al despliegue de SilentCryptoMiner. El minero, además de utilizar llamadas directas al sistema para evadir la detección, toma medidas para desactivar los modos de suspensión e hibernación de Windows, configura la persistencia mediante una tarea programada y utiliza el controlador «Winring0.sys» para ajustar la CPU para las operaciones de minería.

Otro componente notable del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campaña acumuló 27,88 XMR (9.392 dólares) en cuatro carteras rastreadas, lo que indica que la operación está generando beneficios financieros constantes para el atacante.

«Más allá de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga útil, alojando binarios preparados en dos cuentas identificadas», dijo Elastic. «Esta técnica desplaza el paso de descarga y ejecución de la infraestructura controlada por el operador a una plataforma confiable, lo que reduce la fricción en la detección».

Una nueva campaña ha aprovechado la táctica de ingeniería social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda.

«Es probable que utilice ofuscación asistida por IA e inyección de procesos para evadir el escaneo estático, mientras que el robo de credenciales comienza inmediatamente y captura contraseñas y sesiones incluso si el cargador principal está bloqueado», afirman los investigadores de ReliaQuest Thassanai McCabe y Andrew Currie. dicho en un informe compartido con The Hacker News.

El punto de partida de la cadena de ataque es un señuelo ClickFix que engaña a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de diálogo Ejecutar de Windows con el pretexto de abordar un problema inexistente. Este, a su vez, utiliza «mshta.exe», una utilidad legítima de Windows para descargar y ejecutar un cargador PowerShell ofuscado.

Se ha descubierto que el cargador, por su parte, oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de engañar a las herramientas de seguridad. Se evalúa que los actores de amenazas confiaron en una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscación.

DeepLoad hace esfuerzos deliberados para integrarse con la actividad habitual de Windows y pasar desapercibido. Esto incluye ocultar la carga útil dentro de un ejecutable llamado «LockAppHost.exe», un proceso legítimo de Windows que administra la pantalla de bloqueo.

Además, el malware oculta sus propias huellas al desactivar el historial de comandos de PowerShell e invocar directamente las funciones principales nativas de Windows en lugar de depender de los comandos integrados de PowerShell para iniciar procesos y modificar la memoria. Al hacerlo, evita los ganchos de monitoreo comunes que controlan la actividad basada en PowerShell.

«Para evadir la detección basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la característica incorporada de PowerShell Add-Type, que compila y ejecuta código escrito en C#», dijo ReliaQuest. «Esto produce un archivo temporal de biblioteca de vínculos dinámicos (DLL) que se coloca en el directorio Temp del usuario».

Esto ofrece una manera para que el malware eluda las detecciones basadas en nombres de archivos, ya que la DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.

Otra táctica de evasión de defensa notable adoptada por DeepLoad es el uso de inyección de llamada a procedimiento asincrónico (APC) para ejecutar la carga útil principal dentro de un proceso confiable de Windows sin una carga útil decodificada escrita en el disco después de iniciar el proceso de destino en un estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecución del proceso.

DeepLoad está diseñado para facilitar el robo de credenciales extrayendo las contraseñas del navegador del host. También elimina una extensión de navegador maliciosa que intercepta las credenciales a medida que se ingresan en las páginas de inicio de sesión y persiste en las sesiones de los usuarios a menos que se elimine explícitamente.

Una característica más peligrosa del malware es su capacidad de detectar automáticamente cuando se conectan dispositivos de medios extraíbles, como unidades USB, y copiar los archivos con malware usando nombres como «ChromeSetup.lnk», «Firefox Installer.lnk» y «AnyDesk.lnk» para desencadenar la infección una vez que se hace doble clic.

«DeepLoad utilizó el Instrumental de administración de Windows (WMI) para reinfectar un host ‘limpio’ tres días después sin acción del usuario ni interacción del atacante», explicó ReliaQuest. «WMI cumplió dos propósitos: rompió las cadenas de procesos padre-hijo para las cuales la mayoría de las reglas de detección están diseñadas para detectar, y creó una suscripción de evento WMI que silenciosamente volvió a ejecutar el ataque más tarde».

Al parecer, el objetivo es implementar malware multipropósito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y eludir la detección mediante controles de seguridad al evitar escribir artefactos en el disco, mezclarse con los procesos de Windows y propagarse rápidamente a otras máquinas.

La divulgación viene como G DATA detallado otro cargador de malware denominado Kiss Loader que se distribuye a través de archivos de acceso directo a Internet (URL) de Windows adjuntos a correos electrónicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para ofrecer un acceso directo secundario que se hace pasar por un documento PDF.

Una vez ejecutado, el acceso directo inicia un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF señuelo, configura la persistencia en la carpeta Inicio y descarga el Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, usando inyección APC.

Actualmente no se sabe qué tan extendidos están los ataques que implementan Kiss Loader y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detrás del cargador afirma ser de Malawi.

Una campaña en curso y de largo plazo atribuida a un actor amenazante del nexo con China se ha incrustado en las redes de telecomunicaciones para realizar espionaje contra las redes gubernamentales.

La actividad de posicionamiento estratégico, que implica implantar y mantener mecanismos de acceso sigiloso dentro de entornos críticos, se ha atribuido a Hombre rojoun grupo de amenazas que también se rastrea como Earth Bluecrow, DecisiveArchitect y Red Dev 18. El grupo tiene un historial de atacar a proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.

Rapid7 describió los mecanismos de acceso encubierto como «algunas de las células durmientes digitales más sigilosas» jamás encontradas en las redes de telecomunicaciones.

La campaña se caracteriza por el uso de implantes a nivel de kernel, puertas traseras pasivas, utilidades de recolección de credenciales y marcos de comando multiplataforma, lo que brinda al actor de amenazas la capacidad de habitar persistentemente redes de interés. Una de las herramientas más reconocidas de su arsenal de malware es una puerta trasera de Linux llamada BPFDoor.

«A diferencia del malware convencional, BPFdoor no expone puertos de escucha ni mantiene canales de comando y control visibles», Rapid7 Labs dicho en un informe compartido con The Hacker News. «En cambio, abusa de la funcionalidad Berkeley Packet Filter (BPF) para inspeccionar el tráfico de red directamente dentro del kernel, activándose sólo cuando recibe un paquete de activación específicamente diseñado».

«No hay un oyente persistente ni una baliza obvia. El resultado es una trampilla oculta incrustada dentro del propio sistema operativo».

Las cadenas de ataques comienzan cuando el actor de la amenaza apunta a la infraestructura conectada a Internet y a los servicios de borde expuestos, como dispositivos VPN, firewalls y plataformas web asociadas con Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks y Apache Struts, para obtener acceso inicial.

Al lograr un punto de apoyo exitoso, los marcos de balizas compatibles con Linux, como CrossC2 se implementa para facilitar las actividades posteriores a la explotación. También se lanzan Sliver, TinyShell (un puerta trasera Unix), registradores de pulsaciones de teclas y utilidades de fuerza bruta para facilitar la recolección de credenciales y el movimiento lateral.

Sin embargo, BPFDoor es fundamental para las operaciones de Red Menshen. Presenta dos componentes distintos: uno es una puerta trasera pasiva implementada en el sistema Linux comprometido para inspeccionar el tráfico entrante en busca de un paquete «mágico» predefinido instalando un filtro BPF y generando un shell remoto al recibir dicho paquete. La otra parte integral del marco es un controlador administrado por el atacante y es responsable de enviar los paquetes con formato especial.

«El controlador también está diseñado para operar dentro del propio entorno de la víctima», explicó Rapid7. «En este modo, puede hacerse pasar por procesos legítimos del sistema y desencadenar implantes adicionales en los hosts internos enviando paquetes de activación o abriendo un oyente local para recibir conexiones de shell, lo que permite efectivamente el movimiento lateral controlado entre sistemas comprometidos».

Es más, se ha descubierto que ciertos artefactos BPFDoor son compatibles con el protocolo de transmisión de control de flujo (SCTP), permitiendo potencialmente al adversario monitorear protocolos nativos de telecomunicaciones y obtener visibilidad del comportamiento y la ubicación de los suscriptores, e incluso rastrear individuos de interés.

Estos aspectos demuestran que la funcionalidad de BPFdoor va más allá de una puerta trasera sigilosa de Linux. «BPFdoor funciona como una capa de acceso integrada dentro de la red troncal de telecomunicaciones, proporcionando visibilidad silenciosa y a largo plazo de las operaciones críticas de la red», añadió el proveedor de seguridad.

No termina ahí. Una variante de BPFdoor previamente no documentada incorpora cambios arquitectónicos para hacerlo más evasivo y pasar desapercibido durante períodos prolongados en entornos empresariales y de telecomunicaciones modernos. Estos incluyen ocultar el paquete desencadenante dentro del tráfico HTTPS aparentemente legítimo e introducir un mecanismo de análisis novedoso que garantiza que la cadena «9999» aparezca en un desplazamiento de bytes fijo dentro de la solicitud.

Este camuflaje, a su vez, permite que el paquete mágico permanezca oculto dentro del tráfico HTTPS y evite provocar cambios en la posición de los datos dentro de la solicitud, y permite que el implante siempre busque el marcador en un desplazamiento de bytes específico y, si está presente, lo interprete como el comando de activación.

La muestra recién descubierta también presenta un «mecanismo de comunicación liviano» que utiliza el Protocolo de mensajes de control de Internet (ICMP) para interactuar entre dos hosts infectados.

«Estos hallazgos reflejan una evolución más amplia en el arte del adversario», dijo Rapid7. «Los atacantes están incorporando implantes más profundamente en la pila informática, apuntando a los núcleos del sistema operativo y las plataformas de infraestructura en lugar de depender únicamente del malware del espacio del usuario».

«Los entornos de telecomunicaciones, que combinan sistemas básicos, capas de virtualización, dispositivos de alto rendimiento y componentes centrales 4G/5G en contenedores, proporcionan un terreno ideal para una persistencia silenciosa y a largo plazo. Al combinarse con servicios de hardware legítimos y tiempos de ejecución de contenedores, los implantes pueden evadir el monitoreo tradicional de puntos finales y permanecer sin ser detectados durante períodos prolongados».

Los investigadores de ciberseguridad han señalado una nueva evolución de la campaña GlassWorm que ofrece un marco de múltiples etapas capaz de robar datos integrales e instalar un troyano de acceso remoto (RAT), que implementa una extensión de Google Chrome para robar información haciéndose pasar por una versión fuera de línea de Google Docs.

«Registra las pulsaciones de teclas, descarga cookies y tokens de sesión, realiza capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de la cadena de bloques Solana», dijo el investigador de seguridad de Aikido Ilyas Makari. dicho en un informe publicado la semana pasada.

GlassWorm es el apodo asignado a una campaña persistente que obtiene un punto de apoyo inicial a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Además, se sabe que los operadores comprometen las cuentas de los mantenedores del proyecto para enviar actualizaciones envenenadas.

Los ataques son lo suficientemente cuidadosos como para evitar infectar sistemas con una configuración regional rusa y utilizan transacciones de Solana como un sistema de resolución muerta para recuperar el servidor de comando y control (C2) («45.32.150[.]251») y descargar cargas útiles específicas del sistema operativo.

La carga útil de la etapa dos es un marco de robo de datos con capacidades de recolección de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema. Los datos recopilados se comprimen en un archivo ZIP y se extraen a un servidor externo («217.69.3[.]152/pared»). También incorpora funcionalidad para recuperar y lanzar la carga útil final.

Una vez que se transmiten los datos, la cadena de ataque implica recuperar dos componentes adicionales: un binario .NET diseñado para llevar a cabo phishing de billetera de hardware y un RAT JavaScript basado en Websocket para desviar datos del navegador web y ejecutar código arbitrario. La carga útil RAT se obtiene de «45.32.150[.]251» mediante el uso de una URL de evento pública de Google Calendar como solucionador de caídas muertas.

El binario .NET aprovecha la infraestructura del Instrumental de administración de Windows (WMI) para detectar conexiones de dispositivos USB y muestra una ventana de phishing cuando se conecta una billetera de hardware Ledger o Trezor.

«La interfaz de usuario de Ledger muestra un error de configuración falso y presenta 24 campos de entrada de frases de recuperación numerados», señaló Makari. «La interfaz de usuario de Trezor muestra un mensaje falso de ‘Error en la validación del firmware, iniciando reinicio de emergencia’ con el mismo diseño de entrada de 24 palabras. Ambas ventanas incluyen un botón ‘RESTAURAR WALLET’».

El malware no sólo elimina cualquier proceso real de Ledger Live que se esté ejecutando en el host de Windows, sino que también vuelve a mostrar la ventana de phishing si la víctima la cierra. El objetivo final del ataque es capturar la frase de recuperación de la billetera y transmitirla a la dirección IP «45.150.34[.]158.»

La RAT, por otro lado, utiliza una tabla hash distribuida (DHT) para recuperar los detalles de C2. En caso de que el mecanismo no devuelva ningún valor, el malware cambia al punto muerto basado en Solana. Luego, la RAT establece comunicación con el servidor para ejecutar varios comandos en el sistema comprometido:

• start_hvnc / stop_hvnc, para implementar un módulo de Computación de red virtual oculta (HVNC) para acceso a escritorio remoto.
• start_socks / stop_socks, para iniciar un módulo WebRTC y ejecutarlo como proxy SOCKS.
• reget_log, para robar datos de navegadores web, como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi y Mozilla Firefox. El componente está equipado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chrome.
• get_system_info, para enviar información del sistema.
• comando, para ejecutar JavaScript proporcionado por el atacante a través de eval().

La RAT también instala a la fuerza una extensión de Google Chrome llamada Google Docs Offline en sistemas Windows y macOS, que luego se conecta a un servidor C2 y recibe comandos emitidos por el operador, lo que permite recopilar cookies, almacenamiento local y el modelo de objetos de documento completo (DOMINGO) árbol de la pestaña activa, marcadores, capturas de pantalla, pulsaciones de teclas, contenido del portapapeles, hasta 5000 entradas del historial del navegador y la lista de extensiones instaladas.

«La extensión también realiza vigilancia de sesión específica. Extrae las reglas del sitio monitoreado de /api/get-url-for-watch y se envía con Bybit (.bybit.com) preconfigurado como objetivo, vigilando las cookies de token seguro y de identificación del dispositivo», dijo Aikido. «Al ser detectado, activa un webhook detectado por autenticación a /api/webhook/auth-detected que contiene el material de la cookie y los metadatos de la página. El C2 también puede proporcionar reglas de redireccionamiento que fuerzan las pestañas activas a URL controladas por el atacante».

El descubrimiento coincide con otro cambio en las tácticas de GlassWorm, con los atacantes publicando paquetes npm haciéndose pasar por el servidor WaterCrawl Model Context Protocol (MCP) («@iflow-mcp/watercrawl-watercrawl-mcp) para distribuir cargas útiles maliciosas.

«Este es el primer paso confirmado de GlassWorm hacia el ecosistema MCP», dijo el investigador de seguridad de Koi, Lotan Sery. «Y dado lo rápido que está creciendo el desarrollo asistido por IA, y cuánta confianza se otorga a los servidores MCP por diseño, este no será el último».

Se recomienda a los desarrolladores que tengan cuidado al instalar extensiones Open VSX, paquetes npm y servidores MCP. También se recomienda verificar los nombres de los editores, los historiales de paquetes y evitar confiar ciegamente en los recuentos de descargas. La empresa polaca de ciberseguridad AFINE ha publicado una herramienta Python de código abierto llamada cazador de gusanos de cristal para escanear los sistemas de los desarrolladores en busca de cargas útiles asociadas con la campaña.

«El cazador de gusanos de vidrio no realiza ninguna solicitud de red durante el escaneo», dijeron los investigadores Paweł Woyke y Sławomir Zakrzewski. «Sin telemetría. Sin llamadas telefónicas a casa. Sin verificaciones de actualizaciones automáticas. Solo lee archivos locales. La actualización de Glassworm-hunter es el único comando que toca la red. Obtiene la última versión Base de datos de IoC de nuestro GitHub y lo guarda localmente.»

Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos diseñados para robar billeteras de criptomonedas y datos confidenciales.

ReversingLabs está rastreando la actividad como Fantasma campaña. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuación:

• reaccionar-rendimiento-suite
• reaccionar-estado-optimizador-núcleo
• reaccionar-rápido-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• clonador-copia-carbon-mac
• coinbase-escritorio-sdk

«Los paquetes en sí son phishing para la contraseña sudo con la que se ejecuta la última etapa, y están tratando de ocultar su funcionalidad real y evitar la detección de una manera sofisticada: mostrando registros de instalación de npm falsos», Lucija Valentić, investigadora de amenazas de software en ReversingLabs, dicho en un informe compartido con The Hacker News.

Las bibliotecas Node.js identificadas, además de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresión de que el proceso de instalación está en marcha. En un momento durante este paso, se alerta al usuario de que la instalación se está ejecutando con un error debido a que faltan permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada para los paquetes Node.js instalados globalmente en sistemas Linux y macOS.

También le indica a la víctima que ingrese su contraseña de root o administrador para continuar con la instalación. Si ingresan la contraseña, el malware recupera silenciosamente el descargador de la siguiente etapa, que luego se comunica con un canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.

El ataque culmina con la implementación de un troyano de acceso remoto que es capaz de recopilar datos, apuntar a billeteras de criptomonedas y esperar más instrucciones de un servidor externo.

ReversingLabs dijo que las actividades compartidas se superponen con un grupo de actividades documentado por JFrog con el nombre de GhostClaw a principios de este mes, aunque actualmente no se sabe si es trabajo del mismo actor de amenazas o de una campaña completamente nueva.

GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer

Jamf Threat Labs, en un análisis publicado la semana pasada, dijo que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles de robo de credenciales en macOS.

«Estos repositorios se hacen pasar por herramientas legítimas, incluidos robots comerciales, SDK y utilidades para desarrolladores, y están diseñados para parecer creíbles a primera vista», dijo el investigador de seguridad Thijs Xhaflaire. dicho. «Varios de los repositorios identificados han acumulado un compromiso significativo, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su legitimidad percibida».

En esta campaña, los repositorios se llenan inicialmente con código benigno o parcialmente funcional y se dejan sin cambios durante un período prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. Específicamente, los repositorios cuentan con un archivo README que guía a los desarrolladores a ejecutar un script de shell como parte del paso de instalación.

Una variante de estos repositorios presenta un archivo SKILL.md, dirigido principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script de shell inicia un proceso de infección de varias etapas que finaliza con la implementación de un ladrón. La secuencia completa de acciones es la siguiente:

• Identifica la arquitectura del host y la versión de macOS, verifica si Node.js ya está presente e instala una versión compatible si es necesario. La instalación se realiza en un directorio controlado por el usuario para evitar generar señales de alerta.
• Invoca «node scripts/setup.js» y «node scripts/postinstall.js», lo que provoca que la ejecución pase a cargas útiles de JavaScript, lo que le permite robar credenciales del sistema, entregar el malware GhostLoader contactando a un servidor de comando y control (C2) y eliminar rastros de actividad maliciosa limpiando la Terminal.

El script también viene con una variable de entorno llamada «GHOST_PASSWORD_ONLY», que, cuando se establece en cero, presenta un flujo de instalación interactivo completo, completo con indicadores de progreso y mensajes para el usuario. Si se establece en 1, el script inicia una ruta de ejecución simplificada centrada principalmente en la recopilación de credenciales sin ningún elemento adicional de la interfaz de usuario.

Curiosamente, al menos en algunos casos, el script «postinstall.js» muestra un mensaje de éxito benigno, indicando que la instalación fue exitosa y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando «npx reaccionar-state-optimizer».

Según un informe de la compañía de seguridad en la nube Panther el mes pasado, «react-state-optimizer» es uno de varios otros paquetes npm publicados por «mikilanjillo», lo que indica que los dos grupos de actividad son uno y el mismo.

• reaccionar-consulta-core-utils
• optimizador de estado de reacción
• reaccionar-rápido-utils
• reaccionar-rendimiento-suite
• ai-fast-auto-trader
• clonador-copia-carbon-mac
• clonador-copias-carbon-mac
• pkgnewfefame
• barra oscura

«Los paquetes contienen un ‘asistente de configuración’ CLI que engaña a los desarrolladores para que ingresen su contraseña sudo para realizar ‘optimizaciones del sistema’», dijo la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada luego se pasa a una carga útil integral de ladrón de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuraciones de proveedores de nube y tokens de herramientas de desarrollador».

«Los datos robados se enrutan a bots de Telegram específicos de los socios en función de un identificador de campaña integrado en cada cargador, con credenciales almacenadas en el contrato inteligente de BSC y actualizadas sin modificar el malware en sí».

El paquete npm inicial captura las credenciales y recupera la configuración de un canal de Telegram o de una página Teletype.in que está disfrazada de documentación de blockchain para implementar el ladrón. Según Panther, el malware implementa un modelo de ingresos dual, donde el ingreso principal proviene del robo de credenciales transmitido a través de canales asociados de Telegram, y el ingreso secundario proviene de redirecciones de URL de afiliados almacenadas en un contrato inteligente de Binance Smart Chain (BSC) separado.

«Esta campaña destaca un cambio continuo en el arte de los atacantes, donde los métodos de distribución se extienden más allá de los registros de paquetes tradicionales hacia plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA», dijo Jamf. «Al aprovechar ecosistemas confiables y prácticas de instalación estándar, los atacantes pueden introducir código malicioso en entornos con mínima fricción».

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

• CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
• CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
• CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
• CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

• UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
• Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»

La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

Se ha observado que los actores de amenazas norcoreanos envían phishing para comprometer objetivos y obtener acceso a la aplicación de escritorio KakaoTalk de la víctima para distribuir cargas útiles maliciosas a ciertos contactos.

La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como Konni.

«El acceso inicial se logró a través de un correo electrónico de phishing disfrazado de aviso que nombraba al destinatario como un conferenciante de derechos humanos de Corea del Norte», informó el Centro de Seguridad Genians (GSC). anotado en un análisis.

«Después de que el ataque de phishing tuvo éxito, la víctima ejecutó un archivo LNK malicioso, lo que resultó en una infección con malware de acceso remoto. El malware permaneció oculto y persistente en el terminal de la víctima durante un período prolongado, robando documentos internos e información confidencial».

Se dice que el actor de amenazas permaneció en el host comprometido durante un período prolongado de tiempo, aprovechando el acceso no autorizado para desviar documentos internos y utilizar la aplicación KakaoTalk para propagar selectivamente el malware a contactos específicos.

El ataque se caracteriza por abusar de la confianza asociada con las víctimas comprometidas para engañar y atrapar objetivos adicionales. Esta no es la primera vez que Konni emplea la aplicación de mensajería como vector de distribución. En noviembre de 2025, se descubrió que el grupo de piratas informáticos abusaba de las sesiones iniciadas en la aplicación de chat KakaoTalk para enviar cargas útiles maliciosas a los contactos de las víctimas en forma de un archivo ZIP, al mismo tiempo que iniciaba un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.

El punto de partida de la última campaña de ataque es un correo electrónico de phishing que se utiliza como estrategia para engañar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Tras la ejecución, el archivo LNK descarga una carga útil de la siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y, en última instancia, ejecuta el malware, mientras muestra un documento PDF señuelo al usuario como mecanismo de distracción.

Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido a través de capacidades como administración de archivos, acceso remoto al shell, transferencia de datos y persistencia.

Un análisis más detallado del host infectado ha descubierto la presencia de varios artefactos maliciosos, incluidos scripts AutoIt correspondientes a RftRAT y RemcosRAT, lo que indica que el adversario consideró que la víctima era lo suficientemente valiosa como para eliminar varias familias de RAT para mejorar la resistencia.

Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicación KakaoTalk de la víctima instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. Básicamente, esto convierte a las víctimas existentes en intermediarios para futuros ataques.

«Esta campaña se evalúa como una operación de ataque de múltiples etapas que se extiende más allá del simple phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas», dijo Genians. «El actor seleccionó ciertos contactos de la lista de amigos de la víctima y les envió archivos maliciosos adicionales. Al hacerlo, el atacante usó nombres de archivos disfrazados de materiales que presentaban contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos».