El Grupo de Hackers Kimsuky Adopta el Phishing sin Malware, Eludiendo Sistemas de Detección

Kimsuky utiliza tácticas de phishing sin malware, servicios de correo electrónico ruso y sitios convincentes para atacar a investigadores, instituciones y organizaciones financieras, evadiendo la detección.

Investigadores en Corea del Sur han descubierto un cambio en las tácticas del grupo de hackers norcoreano Kimsuky, que ha comenzado a emplear ataques de phishing sin malware diseñados para eludir los principales sistemas de Detección y Respuesta en los Puntos Finales (EDR, por sus siglas en inglés), según informó Cyber Security News (CSN).

Este grupo, activo durante varios años, ha dirigido sus ataques a investigadores y organizaciones que se centran en Corea del Norte. Sus estrategias en constante evolución buscan evadir la detección e incrementar la tasa de éxito de sus campañas.

CSN informa que un cambio significativo en el enfoque de Kimsuky implica sus métodos de ataque por correo electrónico. Anteriormente, el grupo dependía en gran medida de los servicios de correo electrónico japoneses para sus campañas de phishing.

Sin embargo, descubrimientos recientes revelan una transición hacia los servicios de correo electrónico rusos, lo que dificulta aún más que los objetivos identifiquen comunicaciones sospechosas y eviten posibles compromisos, dice CSN.

Kimsuky ha adoptado cada vez más ataques de phishing sin malware, basándose en correos electrónicos de phishing cuidadosamente elaborados basados en URL que carecen de archivos adjuntos de malware, lo que los hace más difíciles de detectar, según CSN.

Estos correos electrónicos a menudo se hacen pasar por entidades como servicios de documentos electrónicos, gestores de seguridad de correo electrónico, instituciones públicas y organizaciones financieras.

Los correos electrónicos del grupo son altamente sofisticados, incorporando frecuentemente temas financieros familiares para aumentar su credibilidad y la probabilidad de interacción del usuario, dice CSN.

Los informes han identificado el uso por parte de Kimsuky de dominios de “MyDomain[.]Korea”, un servicio gratuito de registro de dominios coreano, para crear sitios de phishing convincentes, señala CSN.

Una línea de tiempo de las actividades detallada por Genians resalta el cambio gradual del grupo en el uso de dominios, comenzando con dominios japoneses y estadounidenses en abril de 2024, pasando a servicios coreanos en mayo, y finalmente adoptando dominios rusos fabricados en septiembre, dice CSN.

Estos dominios rusos, vinculados a una herramienta de phishing llamada “star 3.0”, están registrados para fortalecer las campañas del grupo. Un archivo asociado a estos ataques, llamado “1.doc”, fue señalado en VirusTotal, con algunos servicios anti-malware identificándolo como conectado a Kimsuky, informa CSN.

Curiosamente, el uso que hace el grupo del correo “star 3.0” se remonta a campañas anteriores identificadas en 2021. En ese momento, el correo fue descubierto en el sitio web de la Universidad Evangelia, una institución con sede en los Estados Unidos, y estaba vinculado a actores de amenazas norcoreanas en informes de Proofpoint.

Las tácticas en evolución de Kimsuky subrayan la necesidad de vigilancia entre los posibles objetivos.

Los expertos en ciberseguridad recomiendan un escrutinio más riguroso de las comunicaciones sospechosas, particularmente aquellas relacionadas con asuntos financieros, y la adopción de defensas avanzadas en los puntos finales.

Mantenerse informada sobre los métodos del grupo y actualizar las políticas de seguridad en respuesta a las amenazas emergentes son cruciales para proteger la información sensible y mantener medidas de ciberseguridad robustas.