{"id":1204,"date":"2026-06-16T09:02:26","date_gmt":"2026-06-16T09:02:26","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/alertas-falsas-de-microsoft-utilizadas-para-implementar-el-malware-narwhalrat-de-corea-del-norte-cyberdefensa-mx\/"},"modified":"2026-06-16T09:02:26","modified_gmt":"2026-06-16T09:02:26","slug":"alertas-falsas-de-microsoft-utilizadas-para-implementar-el-malware-narwhalrat-de-corea-del-norte-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/alertas-falsas-de-microsoft-utilizadas-para-implementar-el-malware-narwhalrat-de-corea-del-norte-cyberdefensa-mx\/","title":{"rendered":"Alertas falsas de Microsoft utilizadas para implementar el malware NarwhalRAT de Corea del Norte \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El grupo de hackers patrocinado por el Estado norcoreano conocido como ScarCruft<\/b> (tambi\u00e9n conocido como APT37) ha sido observado utilizando mensajes de phishing que se hacen pasar por notificaciones de seguridad de cuentas de Microsoft para entregar malware llamado NarvalRAT<\/b>.<\/p>\n

\u00abEl correo electr\u00f3nico del ataque conten\u00eda un mensaje que se hac\u00eda pasar por una alerta de seguridad de la cuenta de MS\u00bb, inform\u00f3 el Genians Security Center (GSC). dicho<\/a>. \u00abFue dise\u00f1ado para generar preocupaci\u00f3n sobre un posible compromiso de la cuenta y abuso de OTP, induciendo as\u00ed al destinatario a ejecutar el archivo adjunto\u00bb.<\/p>\n

\u00abEl cuerpo del correo electr\u00f3nico indicaba al destinatario que consultara el aviso adjunto. Sin embargo, el archivo adjunto real no era un HWP [Hangul Word Processor] documento, sino un archivo ZIP que conten\u00eda un archivo LNK malicioso\u00bb.<\/p>\n

El mensaje de correo electr\u00f3nico afirma \u00abactividad anormal\u00bb relacionada con la generaci\u00f3n repetida de contrase\u00f1as de un solo uso, haci\u00e9ndola pasar como un intento de phishing dirigido a la cuenta de Microsoft del objetivo por parte de un tercero e inst\u00e1ndolo a cambiar su contrase\u00f1a. El objetivo final del mensaje de phishing es inducir una falsa sensaci\u00f3n de urgencia y enga\u00f1ar a la v\u00edctima para que interprete el correo electr\u00f3nico como una alerta de seguridad leg\u00edtima.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El archivo LNK, una vez iniciado, inicia una cadena de infecci\u00f3n de varias etapas que emplea secuencias de comandos por lotes intermediarias para descargar e instalar NarwhalRAT, adem\u00e1s de recuperar el ejecutable Python leg\u00edtimo del sitio web oficial y un archivo del cat\u00e1logo de seguridad de Windows (CAT). La persistencia se logra mediante una tarea programada, que est\u00e1 configurada para iniciar el archivo CAT responsable de buscar y ejecutar la carga \u00fatil principal en la memoria sin dejar ning\u00fan artefacto en el disco.<\/p>\n

El malware basado en Python est\u00e1 equipado para registrar pulsaciones de teclas, capturar capturas de pantalla (con soporte para im\u00e1genes de alta resoluci\u00f3n), grabar audio ambiental, cargar contenidos de directorio, recopilar detalles de ventanas activas, recopilar datos de medios USB, ejecutar instrucciones emitidas por un servidor de comando y control (C2) y cambiar servidores C2.<\/p>\n

\"\"<\/a><\/div>\n

El apodo NarwhalRAT es una referencia al uso que hace el malware de \u00ab%APPDATA%\\naverwhale\u00bb para almacenar la informaci\u00f3n recopilada en el host comprometido. El nombre del directorio oculto es un intento de evadir la detecci\u00f3n haci\u00e9ndose pasar por Naver Whale, un navegador web desarrollado por la empresa de tecnolog\u00eda surcoreana Naver Corporation.<\/p>\n

La implementaci\u00f3n de NarwhalRAT por parte de APT37 es digna de menci\u00f3n, ya que marca un alejamiento de RokRAT, una familia de malware atribuida exclusivamente al grupo de hackers.<\/p>\n

\"\"<\/a><\/div>\n

\u00abDesde una perspectiva de infraestructura C2, el malware utiliza sitios web coreanos, incluido ‘daehoat[.]com’ y ‘novela21[.]co.kr’, como principales retransmisores de comunicaci\u00f3n, al mismo tiempo que implementa una funcionalidad de comunicaci\u00f3n basada en la API de almacenamiento en la nube pCloud\u00bb, dijo la compa\u00f1\u00eda de ciberseguridad de Corea del Sur.<\/p>\n

\u00abEn particular, se identificaron dentro del c\u00f3digo rutinas espec\u00edficas de pCloud que procesan los par\u00e1metros ‘folderid’ y ‘auth’. Esto indica que el malware fue dise\u00f1ado para utilizar un servicio de nube leg\u00edtimo como canal C2 secundario en forma de un solucionador de ca\u00edda muerta<\/a>\u00ab.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Genians dijo que la actividad comparte \u00abm\u00faltiples similitudes\u00bb con ataques anteriores basados \u200b\u200ben Python orquestados por ScarCruft, incluida una campa\u00f1a de phishing que ha utilizado la confirmaci\u00f3n de boletos y se\u00f1uelos de invitaciones a eventos para enga\u00f1ar a objetivos potenciales para que abran archivos ZIP que contienen archivos LNK.<\/p>\n

El cadena de ataque<\/a> Se desarrolla de manera similar en el sentido de que el archivo LNK act\u00faa como un conducto para un script por lotes ofuscado descargado desde un servidor C2 remoto, que luego descarga el binario de Python y un archivo CAT, lo que finalmente resulta en la implementaci\u00f3n de un script de Python compilado capaz de ejecutar comandos remotos y enviar los resultados al servidor C2.<\/p>\n

Curiosamente, los nombres de las tareas programadas que se utilizan para configurar la persistencia siguen una convenci\u00f3n de nomenclatura similar. Mientras que la infecci\u00f3n NarwhalRAT crea una tarea programada llamada \u00abMicrosoftUserInterfacePicturesUpdateTackMachine\u00bb, la segunda cadena usa el nombre \u00abMicrosoftMusicLibrariesPackageTaskMachine\u00bb.<\/p>\n

\u00abEn general, se considera que NarwhalRAT es un malware RAT avanzado que integra un cargador de m\u00faltiples etapas basado en Python, una estructura de ejecuci\u00f3n en memoria, un marco operativo multi-C2 y funciones de recopilaci\u00f3n selectiva de informaci\u00f3n\u00bb, dijo Genians.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El grupo de hackers patrocinado por el Estado norcoreano conocido como ScarCruft (tambi\u00e9n conocido como APT37) ha sido observado utilizando mensajes de phishing que se hacen pasar por notificaciones de seguridad de cuentas de Microsoft para entregar malware llamado NarvalRAT. \u00abEl correo electr\u00f3nico del ataque conten\u00eda un mensaje que se hac\u00eda pasar por una alerta […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1372,1595,24,70,295,530,60,50,3133,1088,36,3132],"class_list":["post-1204","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-alertas","tag-corea","tag-cyberdefensa-mx","tag-del","tag-falsas","tag-implementar","tag-malware","tag-microsoft","tag-narwhalrat","tag-norte","tag-para","tag-utilizadas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1204"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1204\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}