{"id":469,"date":"2026-04-06T18:15:06","date_gmt":"2026-04-06T18:15:06","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/hackers-vinculados-a-la-rpdc-utilizan-github-como-c2-en-ataques-de-multiples-etapas-dirigidos-a-corea-del-sur-cyberdefensa-mx\/"},"modified":"2026-04-06T18:15:06","modified_gmt":"2026-04-06T18:15:06","slug":"hackers-vinculados-a-la-rpdc-utilizan-github-como-c2-en-ataques-de-multiples-etapas-dirigidos-a-corea-del-sur-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/hackers-vinculados-a-la-rpdc-utilizan-github-como-c2-en-ataques-de-multiples-etapas-dirigidos-a-corea-del-sur-cyberdefensa-mx\/","title":{"rendered":"Hackers vinculados a la RPDC utilizan GitHub como C2 en ataques de m\u00faltiples etapas dirigidos a Corea del Sur \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que actores de amenazas probablemente asociados con la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de m\u00faltiples etapas dirigidos a organizaciones en Corea del Sur.<\/p>\n

La cadena de ataque, por Laboratorios Fortinet FortiGuard<\/a>involucra archivos de acceso directo de Windows (LNK) ofuscados que act\u00faan como punto de partida para colocar un documento PDF se\u00f1uelo y un script de PowerShell que prepara el escenario para la siguiente fase del ataque. Se considera que estos archivos LNK se distribuyen a trav\u00e9s de correos electr\u00f3nicos de phishing.<\/p>\n

Tan pronto como se descargan las cargas \u00fatiles, a la v\u00edctima se le muestra el documento PDF, mientras que el script malicioso de PowerShell se ejecuta silenciosamente en segundo plano. El script de PowerShell realiza comprobaciones para resistir el an\u00e1lisis mediante la b\u00fasqueda de procesos en ejecuci\u00f3n relacionados con m\u00e1quinas virtuales, depuradores y herramientas forenses. Si se detecta alguno de esos procesos, el script finaliza inmediatamente.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

De lo contrario, extrae un script de Visual Basic (VBScript) y configura la persistencia mediante una tarea programada que inicia la carga \u00fatil de PowerShell cada 30 minutos en una ventana oculta para evitar la detecci\u00f3n. Esto garantiza que el script de PowerShell se ejecute autom\u00e1ticamente despu\u00e9s de cada reinicio del sistema.<\/p>\n

Luego, el script de PowerShell perfila el host comprometido, guarda el resultado en un archivo de registro y lo extrae a un repositorio de GitHub creado bajo la cuenta \u00abmotoralis\u00bb utilizando un token de acceso codificado. Algunas de las cuentas de GitHub creadas como parte de la campa\u00f1a incluyen \u00abGod0808RAMA\u00bb, \u00abPigresy80\u00bb, \u00abentire73\u00bb, \u00abpandora0009\u00bb y \u00abbrandonleeodd93-blip\u00bb.<\/p>\n

Luego, el script analiza un archivo espec\u00edfico en el mismo repositorio de GitHub para obtener m\u00f3dulos o instrucciones adicionales, lo que permite al operador utilizar como arma la confianza asociada con una plataforma como GitHub para integrarse y mantener un control persistente sobre el host infectado.<\/p>\n

Fortinet dijo que las versiones anteriores de la campa\u00f1a se basaban en archivos LNK para difundir familias de malware como Xeno RAT. Vale la pena se\u00f1alar que el uso de GitHub C2 para distribuir Xeno RAT y su variante MoonPeak fue documentado por ENKI y Trellix el a\u00f1o pasado. Estos ataques fueron atribuidos a un grupo patrocinado por el Estado norcoreano conocido como Kimsuky.<\/a><\/p>\n

\"\"<\/a><\/div>\n

\u00abEn lugar de depender de un complejo malware personalizado, el actor de amenazas utiliza herramientas nativas de Windows para su implementaci\u00f3n, evasi\u00f3n y persistencia\u00bb, dijo la investigadora de seguridad Cara Lin. \u00abAl minimizar el uso de archivos PE ca\u00eddos y aprovechar LolBins, el atacante puede apuntar a una audiencia amplia con una tasa de detecci\u00f3n baja\u00bb. <\/p>\n

La divulgaci\u00f3n llega como AhnLab detallado<\/a> una cadena de infecci\u00f3n similar basada en LNK de Kimsuky que, en \u00faltima instancia, resulta en la implementaci\u00f3n de una puerta trasera basada en Python.<\/p>\n

Los archivos LNK, como antes, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta \u00abC:\\windirr\u00bb para organizar las cargas \u00fatiles, incluido un PDF se\u00f1uelo y otro archivo LNK que imita un documento de procesador de textos Hangul (HWP). Tambi\u00e9n se implementan cargas \u00fatiles intermedias para configurar la persistencia e iniciar un script de PowerShell, que luego usa Dropbox como canal C2 para recuperar un script por lotes.<\/p>\n

Luego, el archivo por lotes descarga dos fragmentos de archivos ZIP separados desde un servidor remoto (\u00abquickcon[.]store\u00bb) y los combina para crear un \u00fanico archivo y extrae de \u00e9l un programador de tareas XML y una puerta trasera de Python. El programador de tareas se utiliza para iniciar el implante.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El malware basado en Python admite la capacidad de descargar cargas \u00fatiles adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones le permiten ejecutar scripts de shell, enumerar directorios, cargar\/descargar\/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.<\/p>\n

Los hallazgos tambi\u00e9n coinciden con el cambio de ScarCruft de las tradicionales cadenas de ataque basadas en LNK a un dropper basado en HWP OLE para entregar RokRAT, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano, seg\u00fan S2W. Espec\u00edficamente, el malware est\u00e1 incrustado como un objeto OLE dentro de un documento HWP y se ejecuta mediante carga lateral de DLL.<\/p>\n

\u00abA diferencia de cadenas de ataques anteriores que progresaron desde scripts BAT lanzados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recientemente desarrollado para entregar shellcode y la carga \u00fatil ROKRAT\u00bb, dijo la compa\u00f1\u00eda de seguridad de Corea del Sur. dicho<\/a>.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que actores de amenazas probablemente asociados con la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de m\u00faltiples etapas dirigidos a organizaciones en Corea del Sur. La cadena de ataque, por Laboratorios Fortinet FortiGuardinvolucra archivos de acceso directo de Windows (LNK) ofuscados que […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[233,86,1595,24,70,609,574,931,273,573,1024,551,92,400],"class_list":["post-469","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataques","tag-como","tag-corea","tag-cyberdefensa-mx","tag-del","tag-dirigidos","tag-etapas","tag-github","tag-hackers","tag-multiples","tag-rpdc","tag-sur","tag-utilizan","tag-vinculados"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=469"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/469\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}