El grupo ScarCruft (APT37) suplanta alertas de Microsoft para propagar NarwhalRAT

Introducción

En las últimas semanas, los analistas de inteligencia de amenazas han identificado una nueva campaña de spear-phishing atribuida al grupo norcoreano ScarCruft (también conocido como APT37 o TEMP.Reaper). Este actor patrocinado por el estado ha intensificado el uso de correos electrónicos fraudulentos que simulan proceder del servicio de seguridad de cuentas de Microsoft, con el objetivo de distribuir el malware NarwhalRAT. La campaña, detectada y analizada por el Genians Security Center (GSC), pone de manifiesto la sofisticación creciente de las tácticas de ingeniería social y representa una amenaza relevante para organizaciones públicas y privadas en Europa y Asia.

Contexto del Incidente o Vulnerabilidad

ScarCruft es un grupo APT conocido por su actividad centrada en objetivos gubernamentales, militares y empresariales, principalmente en Corea del Sur y países aliados. Su historial incluye campañas de ciberespionaje, robo de credenciales y despliegue de troyanos de acceso remoto (RATs). En este último caso, los atacantes han optado por suplantar notificaciones legítimas de seguridad de Microsoft para aumentar la tasa de éxito de sus ataques, alineándose con una tendencia global en la que los grupos de amenazas avanzadas explotan la confianza en marcas tecnológicas ampliamente utilizadas.

La campaña identificada utiliza correos electrónicos cuidadosamente diseñados para simular alertas legítimas de Microsoft Account, advirtiendo de actividad sospechosa o de intentos de acceso no autorizados. El objetivo es inducir al receptor a abrir un archivo adjunto o acceder a un enlace malicioso, que actúa como vector inicial para la descarga y ejecución de NarwhalRAT.

Detalles Técnicos

El principal vector de ataque es el spear-phishing, empleando mensajes con remitentes falsificados y plantillas visualmente indistinguibles de las comunicaciones originales de Microsoft. Según GSC, los correos incluyen archivos adjuntos en formatos DOCX, XLSX o comprimidos, o bien enlaces a portales de descarga controlados por los atacantes.

NarwhalRAT es un malware modular, detectado originalmente en 2021 y actualizado periódicamente. Permite a los atacantes tomar control remoto del sistema infectado, exfiltrar documentos, registrar pulsaciones de teclado y ejecutar comandos arbitrarios. En las variantes más recientes, NarwhalRAT utiliza técnicas de evasión como inyección de procesos y cifrado de comunicaciones mediante HTTPS.

La campaña se corresponde con la táctica T1566.001 (Phishing: Spearphishing Attachment) del framework MITRE ATT&CK, y emplea técnicas como T1059 (Command and Scripting Interpreter) y T1071.001 (Application Layer Protocol: Web Protocols). Los indicadores de compromiso (IoC) incluyen hashes MD5 y SHA256 de las muestras identificadas, direcciones IP de C2 ubicadas en servidores comprometidos de terceros y dominios registrados ad hoc o secuestrados.

Impacto y Riesgos

Las organizaciones afectadas por esta campaña enfrentan riesgos significativos de exfiltración de información sensible, movimientos laterales y persistencia avanzada en la red. El despliegue de NarwhalRAT puede permitir la obtención de credenciales, acceso a datos confidenciales y la preparación de ataques ulteriores como el ransomware o el sabotaje de infraestructuras críticas.

En términos cuantitativos, se estima que el 8% de los ataques dirigidos a grandes empresas en Corea del Sur y Japón durante el primer trimestre de 2024 están relacionados con variantes de NarwhalRAT. El coste potencial de una brecha de estas características, según datos de IBM, supera los 3,5 millones de euros de media en entornos corporativos europeos, sin considerar sanciones regulatorias conforme al GDPR o la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de esta campaña, los expertos recomiendan:

– Aplicar filtros antiphishing avanzados, con análisis de adjuntos y enlaces en sandbox.
– Formar periódicamente a los empleados en detección de correos sospechosos y buenas prácticas de seguridad.
– Implementar autenticación multifactor (MFA) en todos los servicios críticos.
– Monitorizar y bloquear los IoC asociados a ScarCruft y NarwhalRAT.
– Mantener sistemas, antivirus y EDR actualizados frente a nuevas variantes de malware.
– Auditar los accesos y privilegios en cuentas sensibles de Active Directory.

Opinión de Expertos

Según Javier Martínez, CISO de una multinacional tecnológica española, “La profesionalización de los ataques spear-phishing y la utilización de RATs modulares demuestran la capacidad de adaptación de los grupos APT. La clave está en la visibilidad y la respuesta temprana, combinadas con una concienciación constante de los usuarios”.

Por su parte, el analista de amenazas de S21sec, Laura Serrano, advierte: “ScarCruft está evolucionando hacia técnicas menos ruidosas y más dirigidas, lo que dificulta la detección basada únicamente en firmas. El enfoque debe ser proactivo, utilizando inteligencia de amenazas y soluciones XDR.”

Implicaciones para Empresas y Usuarios

La amenaza que supone ScarCruft y el despliegue de NarwhalRAT implica la necesidad de revisar las estrategias de defensa y respuesta a incidentes. Las empresas deben reforzar sus políticas de seguridad, revisar sus procedimientos de respuesta ante brechas y garantizar el cumplimiento de normativas como el GDPR y la NIS2, que exigen notificación temprana y medidas de protección adecuadas.

Para los usuarios, la concienciación y la precaución ante mensajes inesperados siguen siendo la primera línea de defensa. La suplantación de marcas reconocidas como Microsoft dificulta la identificación manual de fraudes.

Conclusiones

La campaña de spear-phishing de ScarCruft mediante la suplantación de alertas de Microsoft y el uso de NarwhalRAT evidencia el avance de las amenazas persistentes avanzadas y la necesidad de un enfoque integral de ciberseguridad. La combinación de tecnologías de defensa, inteligencia de amenazas, formación continua y cumplimiento normativo es esencial para mitigar riesgos y minimizar el impacto de estas amenazas en el tejido empresarial.

(Fuente: feeds.feedburner.com)