{"id":529,"date":"2026-04-13T11:24:44","date_gmt":"2026-04-13T11:24:44","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/13\/apt37-de-corea-del-norte-utiliza-ingenieria-social-de-facebook-para-distribuir-malware-rokrat-cyberdefensa-mx\/"},"modified":"2026-04-13T11:24:44","modified_gmt":"2026-04-13T11:24:44","slug":"apt37-de-corea-del-norte-utiliza-ingenieria-social-de-facebook-para-distribuir-malware-rokrat-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/13\/apt37-de-corea-del-norte-utiliza-ingenieria-social-de-facebook-para-distribuir-malware-rokrat-cyberdefensa-mx\/","title":{"rendered":"APT37 de Corea del Norte utiliza ingenier\u00eda social de Facebook para distribuir malware RokRAT \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El grupo de hackers norcoreano rastreado como APT37 (tambi\u00e9n conocido como ScarCruft) ha sido atribuido a una nueva campa\u00f1a de ingenier\u00eda social de m\u00faltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creaci\u00f3n de confianza en un canal de entrega para un troyano de acceso remoto llamado RokRAT.<\/p>\n

\u00abEl actor de amenazas utiliz\u00f3 dos cuentas de Facebook con su ubicaci\u00f3n establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y examinar objetivos\u00bb, dijo el Centro de Seguridad Genians (GSC) dicho<\/a> en un desglose t\u00e9cnico de la campa\u00f1a. \u00abDespu\u00e9s de generar confianza a trav\u00e9s de solicitudes de amistad, el actor traslad\u00f3 la conversaci\u00f3n a Messenger y utiliz\u00f3 temas espec\u00edficos para atraer objetivos como parte de la etapa inicial de ingenier\u00eda social del ataque\u00bb.<\/p>\n

Un elemento central del ataque es el uso de lo que el GSC describe como pretexto, una t\u00e1ctica en la que los actores de la amenaza pretenden enga\u00f1ar a los usuarios desprevenidos para que instalen un visor de PDF dedicado, alegando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infecci\u00f3n es una versi\u00f3n manipulada de Wondershare PDFelement que, cuando se inicia, desencadena la ejecuci\u00f3n de un c\u00f3digo shell incrustado que permite a los atacantes obtener un punto de apoyo inicial.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Otro aspecto importante de la campa\u00f1a es que utiliza infraestructura leg\u00edtima pero comprometida para comando y control (C2), utilizando como arma el sitio web asociado con el brazo de Se\u00fal de un servicio de informaci\u00f3n inmobiliaria japon\u00e9s para emitir comandos y cargas \u00fatiles maliciosas. Es m\u00e1s, la carga \u00fatil toma la forma de una imagen JPG aparentemente inofensiva para entregar RokRAT.<\/p>\n

\u00abEsto se considera una estrategia altamente evasiva que combina la manipulaci\u00f3n de software leg\u00edtimo, el abuso de un sitio web leg\u00edtimo y el enmascaramiento de extensiones de archivos\u00bb, dijo el GSC.<\/p>\n

\"\"<\/a><\/div>\n

En la secuencia de ataque detallada por la compa\u00f1\u00eda de ciberseguridad de Corea del Sur, se descubri\u00f3 que los actores de amenazas crearon dos cuentas de Facebook, \u00abrichardmichael0828\u00bb y \u00abjohnsonsophia0414\u00bb, ambas creadas el 10 de noviembre de 2025, y entregaron un archivo ZIP despu\u00e9s de mover la conversaci\u00f3n a Telegram, con el archivo que contiene la versi\u00f3n troyanizada de Wondershare PDFelement junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los archivos PDF.<\/p>\n

El c\u00f3digo shell cifrado ejecutado despu\u00e9s del lanzamiento del instalador manipulado le permite establecer comunicaci\u00f3n con el servidor C2 (\u00abjapanroom[.]com\u00bb) y descargue una carga \u00fatil de segunda etapa, una imagen JPG (\u00ab1288247428101.jpg\u00bb) que luego se utiliza para la carga \u00fatil final de RokRAT.<\/p>\n

El malware, por su parte, abusa de Zoho WorkDrive como C2, una t\u00e1ctica tambi\u00e9n detallada por Zscaler ThreatLabz en febrero de 2026 como parte de una campa\u00f1a con nombre en c\u00f3digo Ruby Jumper, lo que le permite capturar capturas de pantalla, permitir la ejecuci\u00f3n remota de comandos a trav\u00e9s de \u00abcmd.exe\u00bb, recopilar informaci\u00f3n del host, realizar reconocimiento del sistema y evadir la detecci\u00f3n de programas de seguridad como 360 Total Security de Qihoo, mientras disfraza el tr\u00e1fico malicioso.<\/p>\n

\u00abSu funcionalidad principal se ha mantenido relativamente estable y se ha reutilizado repetidamente en m\u00faltiples operaciones a lo largo del tiempo\u00bb, dijo el GSC. \u00abEsto muestra que RokRAT se ha centrado menos en cambiar su funcionalidad principal y m\u00e1s en evolucionar su cadena de entrega, ejecuci\u00f3n y evasi\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El grupo de hackers norcoreano rastreado como APT37 (tambi\u00e9n conocido como ScarCruft) ha sido atribuido a una nueva campa\u00f1a de ingenier\u00eda social de m\u00faltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creaci\u00f3n de confianza […]<\/p>\n","protected":false},"author":1,"featured_media":530,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1747,1595,24,70,1749,1748,1534,60,1088,36,1750,1535,216],"class_list":["post-529","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apt37","tag-corea","tag-cyberdefensa-mx","tag-del","tag-distribuir","tag-facebook","tag-ingenieria","tag-malware","tag-norte","tag-para","tag-rokrat","tag-social","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/529","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=529"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/529\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/530"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=529"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=529"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=529"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}