AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Grupo norcoreano despliega nuevo backdoor PowerShell para atacar entornos de desarrollo y robar criptomonedas**

admin

### Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una campaña avanzada atribuida a un grupo de amenazas persistentes avanzadas (APT) de origen norcoreano. Esta operación emplea un backdoor basado en PowerShell, diseñado específicamente para infiltrar entornos de desarrollo y comprometer activos relacionados con criptomonedas. El vector y la sofisticación del ataque ponen de manifiesto la evolución de las capacidades ofensivas de estos actores estatales, así como la creciente convergencia entre amenazas a la cadena de suministro de software y el robo de activos digitales.

### Contexto del Incidente

El grupo responsable, identificado por múltiples firmas de inteligencia como parte del arsenal de Lazarus Group (también conocido como APT38 o Hidden Cobra), ha centrado su foco en desarrolladores de software y empresas fintech con intereses en criptomonedas. Esta operación coincide con el incremento global de ataques a carteras digitales y plataformas blockchain, donde Corea del Norte ha sido señalada como uno de los principales actores estatales implicados.

El modus operandi habitual de estas campañas incluye ingeniería social, spear phishing y la explotación de herramientas legítimas, como PowerShell, para evadir controles de seguridad y mantener persistencia en los sistemas comprometidos. La motivación financiera se alinea con los informes de la ONU, que estiman que Corea del Norte ha obtenido más de 3.000 millones de dólares en criptomonedas mediante actividades ilícitas desde 2017.

### Detalles Técnicos

El backdoor, que todavía no ha sido asignado un CVE específico, actúa como una puerta trasera modular escrita íntegramente en PowerShell, facilitando el despliegue y la gestión remota de cargas adicionales. Los vectores de ataque inicial identificados incluyen documentos de Office maliciosos y scripts distribuidos a través de repositorios de desarrollo comprometidos (GitHub, GitLab), así como phishing dirigido.

Entre las Tácticas, Técnicas y Procedimientos (TTP) observadas, destacan:

– **T1059.001 (PowerShell):** Uso intensivo de PowerShell para ejecución remota y evasión de controles EDR.
– **T1071.001 (Web Protocols):** Comunicaciones C2 mediante HTTP/HTTPS para dificultar la detección.
– **T1566 (Phishing):** Correos electrónicos dirigidos a perfiles de desarrolladores con enlaces o archivos adjuntos maliciosos.
– **T1195 (Supply Chain Compromise):** Manipulación de dependencias en repositorios de código abierto.

Los Indicadores de Compromiso (IoC) identificados incluyen:

– Hashes de scripts PowerShell maliciosos.
– Dominios de C2 como “devsync[.]cloud”, “update-nodejs[.]com”.
– Rutas inusuales en directorios de trabajo relacionados con entornos de desarrollo (por ejemplo, “C:Users%username%AppDataRoamingnpm”).

Las muestras analizadas muestran capacidades para:

– Exfiltrar credenciales de carteras digitales y archivos de configuración de monederos.
– Enumerar proyectos activos y tokens de acceso a APIs de exchanges de criptomonedas.
– Instalar payloads adicionales, como Cobalt Strike Beacon o scripts de post-explotación basados en Metasploit Framework.

### Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente para organizaciones fintech, exchanges de criptomonedas y desarrolladores que gestionan claves privadas o acceso a activos digitales. Se han detectado infecciones en entornos Windows 10 y 11, así como compromisos en pipelines CI/CD y repositorios privados.

Según datos recopilados, el 17% de los incidentes detectados derivaron en pérdidas directas de criptomonedas, con un valor estimado superior a los 28 millones de dólares en los últimos seis meses. Además, se ha observado exfiltración de código fuente propietario y credenciales de acceso a servicios críticos, lo que incrementa el riesgo de incidentes de cadena de suministro y brechas de datos sujetas a obligaciones de notificación bajo la GDPR y la directiva NIS2.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo derivado de este tipo de ataques, los expertos recomiendan:

– **Segmentación de redes** y uso de estaciones de desarrollo aisladas, sin acceso directo a carteras digitales o sistemas de producción.
– **Deshabilitar la ejecución de PowerShell no firmada** y monitorizar eventos inusuales en los logs de PowerShell (eventos 4104, 4103).
– **Implementar autenticación multifactor (MFA)** en repositorios de código y exchanges.
– **Auditoría periódica de dependencias** y análisis de integridad en proyectos de software.
– **Formación continua en phishing dirigido** para equipos de desarrollo y operaciones.
– **Despliegue de soluciones EDR** con capacidades específicas de detección de scripts en memoria y tráfico anómalo saliente.

### Opinión de Expertos

Analistas de amenazas como Mandiant y CrowdStrike advierten que el uso de PowerShell como vector principal evidencia una evolución en las capacidades de los APT norcoreanos, centrados en permanecer indetectados en entornos altamente tecnificados. “La combinación de técnicas de living-off-the-land y targeting de activos digitales supone un salto cualitativo en las campañas de Lazarus”, señala un investigador de Kaspersky. Por su parte, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EEUU (CISA) insiste en la importancia de la defensa en profundidad y la revisión exhaustiva de logs como medidas esenciales.

### Implicaciones para Empresas y Usuarios

Las organizaciones que gestionan activos digitales o desarrollan software para el sector financiero deben asumir que son un objetivo prioritario. La sofisticación y persistencia de estos grupos exige un enfoque proactivo, combinando controles técnicos con políticas de seguridad robustas y concienciación del personal. El cumplimiento normativo bajo GDPR y NIS2 implica, además, obligaciones de notificación rápida y gestión transparente de incidentes de seguridad.

### Conclusiones

La campaña orquestada por el grupo APT norcoreano constituye una amenaza real y creciente para el ecosistema de desarrollo de software y el sector de las criptomonedas. El uso de backdoors PowerShell, técnicas de cadena de suministro y targeting de activos digitales subraya la necesidad de reforzar controles en toda la cadena de valor. La colaboración entre equipos de seguridad, el intercambio de IoC y la actualización constante de las defensas serán claves para mitigar estos riesgos en un entorno cada vez más hostil.

(Fuente: www.darkreading.com)