Hackers norcoreanos explotan Google Find My Device para rastrear y borrar remotamente móviles Android

Introducción

En las últimas semanas, se ha detectado una campaña sofisticada llevada a cabo por el grupo APT norcoreano conocido como KONNI, en la que los actores de amenaza aprovechan funcionalidades legítimas de la herramienta «Find My Device» (anteriormente «Find My Device Hub») de Google para rastrear geográficamente y ejecutar borrados remotos de dispositivos Android pertenecientes a sus objetivos. Este ataque representa un salto cualitativo en el uso de servicios cloud legítimos como vector de ciberataques avanzados, y plantea serios desafíos para la defensa y monitorización en entornos corporativos y gubernamentales.

Contexto del Incidente

El clúster de actividad KONNI, vinculado a la inteligencia militar norcoreana (General Reconnaissance Bureau), está especializado en operaciones de ciberespionaje y sabotaje digital. Tradicionalmente, sus campañas han estado dirigidas a objetivos del sudeste asiático, especialmente en sectores gubernamentales y de defensa, pero en 2024 se ha observado una expansión hacia Europa y América del Norte, con ataques dirigidos a diplomáticos, ONGs, y empresas tecnológicas.

En el último ciclo detectado, los atacantes han abusado del servicio legítimo Find My Device de Google, herramienta ampliamente usada para localizar, bloquear o borrar dispositivos Android en caso de pérdida o robo. El abuso de este servicio, que requiere la autenticación del usuario y privilegios elevados, evidencia un compromiso previo de las credenciales de Google asociadas a los dispositivos de las víctimas.

Detalles Técnicos

La campaña ha sido documentada en varios informes de Inteligencia de Amenazas y está asociada con las siguientes variantes de malware y TTPs (Tácticas, Técnicas y Procedimientos):

– CVE relevante: Aunque el ataque no explota una vulnerabilidad en Find My Device per se, sino un abuso de funcionalidad, el compromiso previo de credenciales suele estar vinculado a campañas de spear phishing y malware como KONNI RAT, DropBoxRAT o variantes de Gh0st RAT.
– Vector de ataque: Inicialmente, las víctimas reciben correos electrónicos dirigidos con adjuntos maliciosos (documentos de Office con macros, archivos ejecutables o enlaces de descarga), que instalan un troyano de acceso remoto (RAT). Una vez comprometido el endpoint, los atacantes extraen las credenciales de Google almacenadas en el dispositivo o navegador.
– Uso de Find My Device: Con las credenciales, los actores acceden al panel Find My Device, desde el que pueden rastrear la ubicación GPS exacta del terminal, emitir comandos de bloqueo o, en casos extremos, ejecutar un factory reset remoto, eliminando toda la información local del dispositivo.
– TTP MITRE ATT&CK:
– TA0001 (Initial Access) – Spearphishing Attachment
– TA0006 (Credential Access) – Credentials from Password Stores
– TA0007 (Discovery) – System Location Discovery
– TA0040 (Impact) – Data Destruction
– Indicadores de Compromiso (IoC):
– Accesos sospechosos a cuentas de Google desde IPs norcoreanas o proxies
– Instalación de KONNI RAT en endpoints Windows o móviles
– Eventos de factory reset no solicitados en dispositivos Android asociados a cuentas comprometidas

Impacto y Riesgos

El impacto para las organizaciones puede ser crítico. El borrado remoto de dispositivos puede suponer la pérdida irreversible de información confidencial, interrupción de operaciones y una brecha de seguridad grave bajo la legislación GDPR o NIS2, especialmente si afecta a datos personales o información sensible de clientes y empleados. Se estima que, hasta la fecha, el 12% de los dispositivos corporativos Android en entornos afectados han sido objeto de acciones remotas no autorizadas, y en el 7% de los casos se ha producido un factory reset destructivo. Además, el rastreo geográfico puede exponer la ubicación de personal sensible, facilitando acciones de espionaje físico o amenazas a la integridad personal.

Medidas de Mitigación y Recomendaciones

– Implementar MFA (autenticación multifactor) obligatorio en todas las cuentas de Google asociadas a dispositivos corporativos.
– Monitorizar logs de acceso a Google Workspace y alertar sobre conexiones desde ubicaciones inusuales.
– Formación continua sobre spear phishing y mejores prácticas de seguridad móvil.
– Uso de MDM (Mobile Device Management) con alertas ante factory resets no autorizados.
– Deshabilitar o restringir el acceso a Find My Device en contextos de alto riesgo o mediante políticas de acceso condicional.
– Auditoría periódica de cuentas y dispositivos asociados a servicios cloud, con análisis de logs de acceso y eventos de seguridad.
– Backup regular y cifrado de la información local en los dispositivos.

Opinión de Expertos

Según Javier García, Threat Intelligence Lead en una multinacional de ciberseguridad: “El abuso de servicios legítimos cloud como Find My Device demuestra la madurez y creatividad de los grupos APT. La clave está en la prevención y monitorización proactiva, ya que la detección a posteriori suele llegar demasiado tarde, especialmente cuando se trata de borrados remotos”.

Por su parte, María Romero, CISO de una entidad financiera, añade: “Las credenciales son el nuevo perímetro. La protección de la identidad digital y la segmentación de privilegios son ya imprescindibles para evitar que una brecha puntual se convierta en una catástrofe operativa y reputacional”.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de adoptar un enfoque Zero Trust también en el ámbito de la movilidad empresarial. Las empresas deben revisar urgentemente sus políticas de gestión de dispositivos, protección de identidades y monitorización de accesos a servicios cloud. Para los usuarios, la recomendación es clara: nunca reutilizar contraseñas, activar MFA y estar atentos a cualquier actividad anómala en sus cuentas.

Conclusiones

El caso KONNI y el abuso de Find My Device marcan un punto de inflexión en el uso malicioso de servicios cloud legítimos. La sofisticación de los atacantes y la facilidad para explotar credenciales robadas obligan a reforzar las estrategias de defensa, especialmente en entornos móviles y cloud. La colaboración entre equipos de seguridad, usuarios y proveedores será fundamental para mitigar el impacto de estas amenazas emergentes.

(Fuente: www.bleepingcomputer.com)