ScarCruft intensifica su ofensiva: nueva campaña de phishing distribuye RokRAT contra objetivos estratégicos
## Introducción
En las últimas semanas, equipos de investigación en ciberseguridad han identificado una sofisticada campaña de phishing atribuida al grupo de amenazas persistentes avanzadas (APT) conocido como ScarCruft, también denominado APT37. Este colectivo, vinculado a intereses estatales norcoreanos, ha desplegado la operación bautizada como HanKook Phantom, centrando sus esfuerzos en la distribución del malware RokRAT. Las acciones, detectadas y analizadas por el equipo de Seqrite Labs, tienen como objetivo principal individuos relacionados con la National Intelligence Research Association, incluidos destacados académicos.
## Contexto del Incidente
ScarCruft ha mantenido una presencia activa en el panorama de ciberamenazas global desde al menos 2012, especializándose en ataques dirigidos a organizaciones gubernamentales, think tanks, y entidades asociadas con la investigación y la inteligencia, principalmente en el sudeste asiático y la península coreana. En esta nueva campaña, iniciada a finales del primer semestre de 2024, el grupo ha evolucionado sus tácticas, técnicas y procedimientos (TTP), empleando técnicas de ingeniería social avanzadas para comprometer cuentas de correo electrónico y distribuir cargas maliciosas a través de adjuntos y enlaces camuflados.
## Detalles Técnicos
### Vectores de ataque y despliegue
La campaña HanKook Phantom se apoya fundamentalmente en correos electrónicos de phishing cuidadosamente confeccionados, simulando comunicaciones oficiales de la National Intelligence Research Association. Los mensajes contienen documentos adjuntos en formato Microsoft Word o enlaces que redirigen a los objetivos a sitios comprometidos, donde se descarga y ejecuta el payload, identificándose como RokRAT.
RokRAT es un malware modular de acceso remoto (RAT) conocido por su flexibilidad y su uso extensivo en ciberoperaciones norcoreanas. Aprovecha vulnerabilidades recientes en Microsoft Office (CVE-2017-0199 y CVE-2017-11882, aún explotadas en entornos no parcheados) para ejecutar macros maliciosas que descargan el backdoor desde servidores controlados por ScarCruft.
Asimismo, se han documentado indicadores de compromiso (IoC) como dominios de comando y control (C2) registrados en infraestructuras bulletproof y hashes de archivos maliciosos asociados a variantes recientes de RokRAT. El grupo emplea técnicas de evasión avanzadas, incluyendo ofuscación de scripts y uso de servicios legítimos en la nube (p.ej., Dropbox, pCloud) como canales de exfiltración y persistencia.
### TTP según MITRE ATT&CK
– **T1566.001 (Phishing: Spearphishing Attachment)**
– **T1204.002 (User Execution: Malicious File)**
– **T1059.001 (Command and Scripting Interpreter: PowerShell)**
– **T1105 (Ingress Tool Transfer)**
– **T1071.001 (Application Layer Protocol: Web Protocols)**
– **T1027 (Obfuscated Files or Information)**
El uso de frameworks como Metasploit para el desarrollo y prueba de los exploits ha sido observado en fases tempranas, aunque la preferencia del grupo es el uso de herramientas personalizadas y RATs diseñados ad hoc.
## Impacto y Riesgos
El impacto potencial de HanKook Phantom es elevado, dado el perfil estratégico de sus objetivos. RokRAT permite la ejecución remota de comandos, la exfiltración de documentos confidenciales, la captura de credenciales y la monitorización de actividad del sistema y comunicaciones. Además, el uso de canales cifrados y servicios cloud dificulta la detección y respuesta temprana.
Según estimaciones de Seqrite Labs, al menos el 20% de los destinatarios iniciales han interactuado con los adjuntos maliciosos, facilitando posibles brechas de datos. Las organizaciones afectadas se exponen a riesgos legales significativos bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, especialmente en lo relativo a la protección de información sensible y la notificación de incidentes.
## Medidas de Mitigación y Recomendaciones
– **Actualización y parcheo inmediato** de sistemas Microsoft Office, priorizando la corrección de las CVE-2017-0199 y CVE-2017-11882.
– **Formación continua** a usuarios con acceso a información estratégica, enfatizando la detección de correos de phishing altamente dirigidos.
– **Implementación de soluciones EDR** con capacidades de análisis de comportamiento y detección de actividad anómala relacionada con PowerShell y procesos ofuscados.
– **Monitorización de tráfico saliente** hacia dominios de almacenamiento en la nube y detección de patrones de exfiltración.
– **Revisión de políticas de acceso** y segmentación de red para limitar el movimiento lateral en caso de compromiso.
## Opinión de Expertos
Expertos en ciberinteligencia subrayan que ScarCruft ha perfeccionado su enfoque hacia objetivos de alto valor, mostrando una creciente capacidad para eludir controles tradicionales. «La sofisticación de la campaña HanKook Phantom evidencia una inversión continuada en capacidades ofensivas por parte de grupos vinculados a intereses estatales norcoreanos», apunta un analista senior de amenazas de Kaspersky. El uso persistente de vulnerabilidades conocidas, pese a su antigüedad, refleja la existencia de superficies de ataque no remediadas en entornos críticos.
## Implicaciones para Empresas y Usuarios
La campaña pone de relieve la urgencia de reforzar los perímetros de seguridad en sectores académico, gubernamental y de investigación. Las empresas deben considerar la adopción de estrategias Zero Trust y la integración de inteligencia de amenazas en sus procesos SIEM/SOC para anticipar movimientos adversarios. Los usuarios con acceso a información estratégica deben ser priorizados en programas de concienciación y monitorización.
## Conclusiones
La operación HanKook Phantom es un ejemplo paradigmático de cómo las APTs evolucionan y adaptan sus TTPs para maximizar el impacto en objetivos de alto perfil. La persistencia de vulnerabilidades antiguas y la sofisticación de las técnicas de ingeniería social exigen una respuesta proactiva desde la gobernanza de la ciberseguridad, combinando tecnología, procesos y concienciación. En un contexto regulatorio cada vez más estricto, el refuerzo de la resiliencia frente a ataques dirigidos es imperativo para la protección de activos críticos y el cumplimiento normativo.
(Fuente: feeds.feedburner.com)