Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing realizada por el grupo de piratería vinculado a Corea del Norte llamado Scarcruft (también conocido como APT37) para entregar un malware conocido como Rokrat. La actividad ha sido con nombre en código Operación Hankook Phantom por Seqrite Labs, afirmando que los ataques parecen dirigirse a las personas asociadas con la Asociación Nacional de Investigación de Inteligencia, incluidas las cifras académicas, los ex funcionarios gubernamentales e investigadores. «Los atacantes probablemente apuntan a robar información confidencial, establecer persistencia o realizar espionaje», dijo el investigador de seguridad Dixit Panchal en un informe publicado la semana pasada. El punto de partida de la cadena de ataque es un correo electrónico de phishing de lanza que contiene un señuelo para el «Boletín de la Sociedad Nacional de Investigación de Inteligencia: el tema 52», un boletín periódico emitido por un grupo de investigación surcoreano centrado en la inteligencia nacional, las relaciones laborales, la seguridad y los problemas de energía. La misiva digital contiene un archivo adjunto de archivo zip que contiene un atajo de Windows (LNK) disfrazado de documento PDF, que, cuando se abre, lanza el boletín como un señuelo mientras deja caer a Rokrat en el host infectado. Rokrat es un malware conocido asociado con APT37, con la herramienta capaz de recopilar información del sistema, ejecutar comandos arbitrarios, enumerando el sistema de archivos, capturar capturas de pantalla y descargar cargas útiles adicionales. Los datos recopilados se exfiltran a través de Dropbox, Google Cloud, PCloud y Yandex Cloud. Seqrite dijo que detectó una segunda campaña en la que el archivo LNK sirve como un conducto para un script de PowerShell que, además de dejar un documento de Microsoft Word de señuelo, ejecuta un script de lotes de Windows ofuscado que es responsable de desplegar un cuentagotas. El binario luego ejecuta una carga útil de la próxima etapa para robar datos confidenciales del host comprometido mientras oculta el tráfico de la red como una carga de archivo Chrome. El documento de señuelo utilizado en este caso es una declaración emitida por Kim Yo Jong, subdirector del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea y, con fecha del 28 de julio, rechazando los esfuerzos de Seúl en la reconciliación. «El análisis de esta campaña destaca cómo Apt37 (escorruft/Inkysquid) continúa empleando ataques de phishing de lanza altamente personalizados, aprovechando cargadores LNK maliciosos, ejecución de PowerShell sin fila y mecanismos de exfiltración encubiertos», dijo Panchal. «Los atacantes apuntan específicamente a los sectores gubernamentales de Corea del Sur, instituciones de investigación y académicos con el objetivo de la recopilación de inteligencia y el espionaje a largo plazo». El desarrollo se produce cuando la compañía cibernética Qianxin ataques detallados montados por el infame Lázaro Group (también conocido como Qianxin) utilizando tácticas de estilo ClickFix para engañar a los buscadores de empleo en la descarga de una supuesta actualización relacionada con Nvidia para abordar problemas de cámara o micrófono al proporcionar una evaluación de video. Los detalles de esta actividad fueron revelados previamente por Gen Digital a fines de julio de 2025. El ataque de ClickFix da como resultado la ejecución de un script de Visual Basic que conduce a la implementación de Beaverail, un robador de JavaScript que también puede entregar una puerta trasera basada en Python doblada InvisibleFerret. Además, los ataques allanan el camino para una puerta trasera con la ejecución de comandos y las capacidades de lectura/escritura de archivos. La divulgación también sigue a nuevas sanciones impuestas por el Departamento de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos contra dos individuos y dos entidades para su papel en el esquema de trabajadores de la Tecnología de la Información Remota de Corea del Norte (TI) para generar ingresos ilícitos para las armas de destrucción de masas y los programas de misiles balísticos del régimen. El Grupo Chollima, en un informe publicado la semana pasada, detalló su investigación sobre un clúster de trabajadores de TI afiliado con Moonstone Sleet que rastrea como Babylongroup en relación con un juego Blockchain Play-to Earn (P2E) llamado Defitankland. Se evalúa que Logan King, el supuesto CTO de Defitankland, es en realidad un trabajador de TI de Corea del Norte, una hipótesis reforzada por el hecho de que la cuenta GitHub de King ha sido utilizada como referencia por un freelancer y desarrollador de blockchain ucraniano llamado «Ivan Kovch». «Muchos miembros habían trabajado previamente en un gran proyecto de criptomonedas en nombre de una compañía sombreada llamada ICICB (que creemos que es un frente), que uno de los miembros que no son DPRK del clúster dirigen el mercado de delitos cibernéticos chinos, y una conexión interesante entre Detankzone y un trabajador de TI mayor que anteriormente operaba fuera de Tanzania», dijo el grupo Chollima Group. «Si bien el CEO de Defitankland, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de blockchain, no creemos que sea responsable de ninguno de los desarrollos. Todo esto significa que el juego» legítimo «detrás de la detankzone de Moonstone Sleet fue desarrollado de hecho por los trabajadores de TI de DPRK, solo para ser recogido y utilizado por un grupo de aptos de Cornean del Norte».