El grupo APT vinculado a Corea del Norte conocido como Konni APT ha sido atribuido a una campaña de phishing dirigida a entidades gubernamentales en Ucrania, lo que indica que el actor apunta más allá de Rusia.
La empresa de seguridad empresarial Proofpoint, dijo que el objetivo final de la campaña es recopilar información sobre la «trayectoria de la invasión rusa».
«El interés del grupo en Ucrania surge a raíz de los ataques históricos a entidades gubernamentales en Rusia con fines de recopilación de inteligencia estratégica», dijeron los investigadores de seguridad Greg Lesnewich, Saher Naumaan y Mark Kelly en un informe compartido con The Hacker News.
Konni APT , también conocido como Opal Sleet, Osmium, TA406 y Vedalia , es un grupo de ciberespionaje con un historial de ataques contra entidades en Corea del Sur, Estados Unidos y Rusia. Dicho grupo, se cree que opera desde al menos, el año 2014.
Las cadenas de ataque implementadas por el actor de amenazas suelen implicar el uso de correos electrónicos de phishing para distribuir malware llamado Konni RAT (también conocido como UpDog), y redirigir a los destinatarios a páginas de recolección de credenciales. Proofpoint, en un análisis del grupo APT publicado en noviembre de 2021, evaluó a TA406 como uno de los numerosos actores que conforman la actividad rastreada públicamente como Kimsuky, Thallium y Konni Group.
El último conjunto de ataques documentados por la empresa de ciberseguridad implica el uso de correos electrónicos de phishing que se hacen pasar por un miembro senior ficticio de un grupo de expertos llamado Royal Institute of Strategic Studies, que también es una organización inexistente.
Además, se ha detectado que TA406 intenta recopilar credenciales enviando mensajes falsos de alerta de seguridad de Microsoft a entidades del gobierno ucraniano desde cuentas de ProtonMail, advirtiéndoles de una actividad de inicio de sesión sospechosa desde direcciones IP ubicadas en los Estados Unidos e instándolos a verificar el inicio de sesión visitando un enlace.
Si bien, no se ha recuperado la página de recolección de credenciales, se dice que, el mismo dominio comprometido, se utilizó en el pasado para recopilar información de inicio de sesión de Naver.
«Estas campañas de recolección de credenciales se llevaron a cabo antes de los intentos de implementación del malware y se dirigieron a algunos de los mismos usuarios a los que posteriormente se dirigió la campaña de entrega de HTML«, declaró Proofpoint. «Es muy probable que TA406 esté recopilando información para ayudar a los líderes norcoreanos a determinar el riesgo actual para sus fuerzas que ya se encuentran en el teatro de operaciones, así como la probabilidad de que Rusia solicite más tropas o armamento».
A diferencia de los grupos rusos, cuya tarea probablemente consistía en recopilar información táctica del campo de batalla y atacar a las fuerzas ucranianas in situ, el TA406 se ha centrado tradicionalmente en labores de recopilación de inteligencia política más estratégicas.
Los hallazgos, también coinciden con campañas de phishing orquestadas por Kimsuky para atacar a agencias gubernamentales en Corea del Sur mediante la entrega de un malware ladrón capaz de establecer comunicaciones de comando y control (C2 o C&C) y exfiltrar archivos, datos del navegador web e información de billeteras de criptomonedas.
Konni y Kimsuky no son, ni de lejos, los únicos actores de amenazas norcoreanos que se centran en Seúl. En marzo de 2025, se descubrió que entidades surcoreanas eran víctimas de otra campaña de APT37, también conocida como ScarCruft.
Los ataques de phishing selectivo, denominados Operación ToyBox Story, afectaron a varios activistas centrados en Corea del Norte. Según el Centro de Seguridad Genians (GSC), el primer ataque de phishing selectivo observado ocurrió el 8 de marzo de 2025.
«Los actores de amenazas persistente avanzada, explotaron servicios legítimos en la nube como infraestructura C2 y continuaron modificando archivos de acceso directo (LNK) mientras se centraban en técnicas de ataque sin archivos para evadir la detección del software antivirus instalado en los puntos finales de destino», dijo Genians.
Fuente
Ciberprisma - alianza por la ciberseguridad 