Una campaña reciente atribuida al grupo norcoreano conocido como APT37 (también llamado ScarCruft) vuelve a poner sobre la mesa cómo los atacantes combinan ingeniería social clásica con técnicas técnicas cada vez más sofisticadas para introducir malware en redes y dispositivos. Según un análisis técnico publicado por la firma surcoreana Genians, los operadores usaron cuentas de Facebook para crear una relación de confianza con sus víctimas y convertir esa interacción en la vía de entrega de un troyano de acceso remoto conocido como RokRAT. Puedes consultar la compañía detrás del análisis en su web oficial: Genians Security Center.
El mecanismo de entrada no fue un exploit directo ni un correo masivo, sino algo más social y dirigido: los atacantes crearon perfiles falsos que fingían proximidad y temas de interés con las víctimas, y luego trasladaron la conversación a aplicaciones de mensajería privada donde resultó más fácil intercambiar archivos. La táctica de construir una historia creíble —lo que en ciberseguridad se llama pretexting— les permitió convencer a los objetivos de que instalaran un visor de PDF supuestamente necesario para abrir documentos militares encriptados. En realidad, ese “visor” era una versión manipulada de software legítimo.
La pieza que abría la puerta técnica al compromiso era un instalador troceado de un programa real para leer y editar PDFs. En este caso se trató de una variante adulterada de Wondershare PDFelement, un paquete comercial conocido que la víctima percibiría como inocuo. El instalador modificado ejecutaba código malicioso incrustado al iniciarse, lo que proporcionó a los atacantes un primer acceso persistente en la máquina afectada. Si quieres ver el software legítimo mencionado, está disponible en la web oficial: Wondershare PDFelement.
Una curiosidad técnica de la campaña es el uso deliberado de infraestructura legítima comprometida para manejar el canal de mando y control (C2). Según la investigación, los operadores aprovecharon un sitio web real asociado a un servicio de información inmobiliaria para emitir instrucciones y descargar cargas útiles adicionales. Además, la segunda etapa de la cadena de infección no llegó como ejecutable convencional, sino camuflada en un archivo JPG que contenía la carga final de RokRAT. Esta estrategia aprovecha la confianza en recursos legítimos y el camuflaje de extensiones para dificultar la detección automática.
RokRAT no es nuevo en los arsenales de actores norcoreanos y ya se ha observado en operaciones anteriores. Investigadores externos han documentado cómo este tipo de malware reutiliza capacidades centrales pero modifica continuamente sus métodos de entrega y evasión. En campañas anteriores se ha descrito que el malware usa servicios legítimos en la nube como canales para ocultar su tráfico de control, algo que ayuda a esquivar controles tradicionales. Un ejemplo detallado de uso de servicios en la nube como vector de C2 fue documentado por Zscaler ThreatLabz en una investigación publicada en 2026, que analizó técnicas similares y subrayó el uso de plataformas legítimas para camuflar comunicaciones maliciosas; puedes revisar el archivo de investigaciones de Zscaler aquí: Zscaler ThreatLabz.
Desde el punto de vista operativo, los atacantes siguieron un flujo deliberado: identificación y cribado de objetivos a través de perfiles con geolocalización falsa, establecimiento de confianza por mensajería, entrega de un archivo comprimido (ZIP) con instrucciones y un instalador manipulado, ejecución del código incrustado que contacta con el servidor de C2 y, finalmente, descarga de la carga útil final enmascarada como imagen. La persistencia y las capacidades del troyano incluyen captura de pantalla, ejecución remota de comandos (por ejemplo usando cmd.exe), recopilación de información del sistema y técnicas para intentar evadir ciertos productos de seguridad que puedan estar en el endpoint. Para dar contexto sobre la popularidad de algunas soluciones y su presencia en el mercado, Qihoo 360 ofrece un producto conocido como 360 Total Security: 360 Total Security, aunque los atacantes siempre prueban maneras de burlar defensas concretas.
Este incidente vuelve a ilustrar varias lecciones importantes. Primero, usar software legítimo como señuelo obliga a organizaciones y usuarios a desconfiar incluso de instaladores que parecen provenir de marcas conocidas. Segundo, el abuso de infraestructuras legítimas (sitios web comprometidos o servicios en la nube) complica la detección, porque el tráfico de red puede parecer normal. Y tercero, los atacantes ponen especial énfasis en la fase humana del ataque: sin el engaño inicial no habría ejecución del código final.
Para minimizar el riesgo es recomendable desplegar controles técnicos y educacionales: verificar siempre la procedencia de archivos y enlaces, preferir canales de distribución oficiales para el software, mantener los sistemas actualizados y limitar la ejecución automática de instaladores recibidos por mensajería. En entornos corporativos, la segmentación de red, la inspección de tráfico saliente y el bloqueo de archivos con extensiones sospechosas pueden reducir el alcance de una infección. También es importante detectar y monitorear comportamientos anómalos, como procesos que toman capturas de pantalla o invocaciones inusuales de cmd.exe, y contar con procedimientos claros para aislar equipos comprometidos y realizar un análisis forense.
Si te interesa profundizar en el fenómeno de atacantes que se hacen pasar por actores creíbles y en las herramientas que emplean, las páginas de proveedores y centros de investigación publican análisis y guías útiles. Además de los enlaces ya citados, plataformas de almacenamiento y colaboración en la nube como Zoho WorkDrive a veces son aprovechadas por actores maliciosos, por lo que su uso en un contexto de C2 merece atención por parte de equipos de seguridad.
En definitiva, lo que destaca de esta operación atribuida a APT37 no es tanto la novedad del malware, sino la refinada mezcla de engaño humano, manipulación de software legítimo y abuso de infraestructura confiable. Esa combinación hace que las defensas reactivas sean insuficientes: la mejor respuesta es una política que una tecnología precisa con formación continua y procedimientos que dificulten el primer clic que abre la puerta al atacante.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...