AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Kimsuky intensifica sus campañas de phishing con códigos QR dirigidas a agencias gubernamentales y organizaciones académicas

admin

#### Introducción

En los últimos meses, el grupo de amenazas persistentes avanzadas (APT) conocido como “Kimsuky”, vinculado al régimen norcoreano, ha desplegado una sofisticada campaña de phishing dirigida a organismos gubernamentales estadounidenses y extranjeros, así como a ONGs e instituciones académicas. Lo novedoso de esta ofensiva reside en el uso masivo de códigos QR embebidos en correos electrónicos fraudulentos, una técnica que está ganando tracción entre los actores de amenazas debido a su capacidad para eludir soluciones tradicionales de seguridad.

#### Contexto del Incidente o Vulnerabilidad

Kimsuky, también identificado como APT43 o Thallium por diversas firmas de ciberinteligencia, lleva años operando con el objetivo principal de la obtención de inteligencia geopolítica y tecnológica. Sus campañas suelen centrarse en el robo de credenciales, el espionaje y la desinformación, alineadas con los intereses estratégicos de Corea del Norte. Según informes recientes de agencias de ciberseguridad estadounidenses y europeas, durante el primer semestre de 2024 se ha detectado un repunte en la actividad de este grupo, especialmente en ataques dirigidos contra entidades gubernamentales, ONGs y universidades con proyectos sensibles.

El uso de códigos QR en los correos de phishing representa un vector de ataque en auge. A diferencia de los enlaces tradicionales, los códigos QR suelen eludir los filtros de correo y las soluciones de seguridad tradicionales, ya que requieren interacción manual del usuario y su análisis automatizado es más complejo para los motores antiphishing convencionales.

#### Detalles Técnicos

Las campañas recientes de Kimsuky han utilizado correos electrónicos cuidadosamente elaborados, suplantando identidades de organismos oficiales y académicos para aumentar su tasa de éxito. El contenido del mensaje normalmente solicita al destinatario escanear un código QR para acceder a información “confidencial” o documentos compartidos.

**Vectores de ataque y TTPs**

– **Técnicas MITRE ATT&CK:**
– *Phishing (T1566.001)*
– *Spearphishing Attachment (T1566.001)*
– *User Execution: Malicious Link (T1204.001)*
– **Explotación de QR:**
– Al escanear el código QR, la víctima es redirigida a páginas web de phishing alojadas en dominios comprometidos o recién registrados, donde se solicitan credenciales o se fuerza la descarga de malware.
– En algunos casos, se ha detectado la utilización de exploits para vulnerabilidades de navegador conocidas (por ejemplo, CVE-2024-21412 y CVE-2024-28871) con el objetivo de comprometer dispositivos móviles.
– **Herramientas y frameworks:**
– Uso de frameworks personalizados, aunque también se han observado payloads compatibles con Cobalt Strike y Metasploit para el movimiento lateral posterior a la intrusión.
– **Indicadores de compromiso (IoC):**
– Dominios de reciente creación con patrones similares, direcciones IP asociadas a VPS en Asia, y URLs ofuscadas con servicios de acortamiento y redirección.

#### Impacto y Riesgos

El impacto potencial de estas campañas es significativo, especialmente en términos de acceso no autorizado a información sensible, robo de credenciales y posible instalación de puertas traseras. El riesgo es aún mayor para entidades públicas y organizaciones implicadas en proyectos críticos o con datos de investigación estratégica.

Según datos de la firma Mandiant, hasta un 14% de los intentos de phishing con QR en los sectores objetivo han conseguido la interacción del usuario, una tasa superior a la de los ataques de phishing convencionales. Además, la explotación de vulnerabilidades de día cero en navegadores móviles incrementa la gravedad del riesgo, permitiendo la ejecución remota de código y la persistencia en los dispositivos comprometidos.

#### Medidas de Mitigación y Recomendaciones

Para contrarrestar este tipo de amenazas, se recomienda:

– **Formación continua** para empleados y usuarios sobre los riesgos de escanear códigos QR no verificados.
– **Implementación de filtros de seguridad avanzados** capaces de analizar imágenes en los correos electrónicos y detectar patrones de QR maliciosos.
– **Restricción del acceso a dispositivos móviles** a recursos críticos dentro de la red corporativa.
– **Aplicación de parches de seguridad** en navegadores y sistemas operativos móviles, priorizando las versiones afectadas por CVE-2024-21412 y CVE-2024-28871.
– **Despliegue de soluciones EDR/NDR** que monitoricen comportamientos anómalos tras el escaneo de QR o la introducción de credenciales en portales sospechosos.
– **Revisión de logs y correlación de eventos** para identificar patrones relacionados con campañas conocidas de Kimsuky.

#### Opinión de Expertos

Expertos de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) y del Centro Criptológico Nacional (CCN-CERT) advierten que “la adopción de técnicas de phishing basadas en QR supone un desafío para las defensas tradicionales y requiere una actualización de las políticas de concienciación y de los controles técnicos”. Asimismo, recomiendan la colaboración intersectorial y el intercambio de IoCs actualizados a través de plataformas como MISP o Threat Intelligence Platforms (TIPs).

#### Implicaciones para Empresas y Usuarios

La evolución de las tácticas de Kimsuky refleja una tendencia del mercado: el aumento de ataques dirigidos mediante ingeniería social avanzada y el aprovechamiento de nuevas superficies de ataque, como los códigos QR. Las empresas deben revisar sus políticas de BYOD y acceso remoto, además de reforzar los controles de autenticación multifactor (MFA) y la segmentación de red.

Para los usuarios, la principal recomendación es la desconfianza sistemática ante cualquier petición de escaneo de QR fuera de canales corporativos verificados y el reporte inmediato de incidentes sospechosos al equipo SOC o CISO de la organización.

#### Conclusiones

La campaña de Kimsuky mediante phishing con códigos QR marca un nuevo hito en la sofisticación de las amenazas dirigidas a sectores críticos. Ante este escenario, la defensa proactiva, la inteligencia de amenazas actualizada y la concienciación de los usuarios se consolidan como pilares esenciales para mitigar el riesgo y cumplir con normativas como GDPR y NIS2.

(Fuente: www.darkreading.com)