Actores de amenazas probablemente vinculados a la República Popular Democrática de Corea (RPDC) han sido observados utilizando GitHub como infraestructura de comando y control (C2) en ataques de múltiples etapas dirigidos a organizaciones en Corea del Sur.
Según Fortinet FortiGuard Labs, la cadena de ataque comienza con archivos de acceso directo de Windows (LNK) ofuscados que actúan como punto de partida para soltar un documento PDF señuelo y un script de PowerShell que prepara la siguiente fase. Se estima que estos archivos LNK se distribuyen mediante correos electrónicos de phishing.
Una vez descargados los payloads, la víctima visualiza el documento PDF mientras el script malicioso de PowerShell se ejecuta silenciosamente en segundo plano. El script realiza comprobaciones para resistir el análisis, escaneando procesos relacionados con máquinas virtuales, depuradores y herramientas forenses. Si detecta alguno de estos procesos, se detiene inmediatamente.
De lo contrario, extrae un script de Visual Basic (VBScript) y establece persistencia mediante una tarea programada que ejecuta el payload de PowerShell cada 30 minutos en una ventana oculta para evadir la detección. Esto asegura que el script de PowerShell se ejecute automáticamente tras cada reinicio del sistema.
El script de PowerShell luego perfila el host comprometido, guarda el resultado en un archivo de registro y lo exfiltra a un repositorio de GitHub creado bajo la cuenta "motoralis" mediante un token de acceso fijo. Algunas de las cuentas de GitHub creadas como parte de la campaña incluyen "God0808RAMA", "Pigresy80", "entire73", "pandora0009" y "brandonleeodd93-blip".
El script luego analiza un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales, permitiendo al operador aprovechar la confianza asociada con una plataforma como GitHub para pasar desapercibido y mantener control persistente sobre el host infectado.
Fortinet señaló que iteraciones anteriores de la campaña utilizaban archivos LNK para distribuir familias de malware como Xeno RAT. Cabe destacar que el uso de GitHub como C2 para distribuir Xeno RAT y su variante MoonPeak fue documentado por ENKI y Trellix el año pasado, atribuyendo estos ataques a un grupo patrocinado por Corea del Norte conocido como Kimsuky.
"En lugar de depender de malware personalizado complejo, el actor de amenazas utiliza herramientas nativas de Windows para implementación, evasión y persistencia", dijo la investigadora de seguridad Cara Lin. "Al minimizar el uso de archivos PE descargados y aprovechar LolBins, el atacante puede dirigirse a una audiencia amplia con una baja tasa de detección".
La revelación ocurre mientras AhnLab detalló una cadena de infección similar basada en LNK de Kimsuky que finalmente resulta en el despliegue de una puerta trasera basada en Python.
Los archivos LNK, como antes, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta "C:\windirr" para almacenar los payloads, incluyendo un PDF señuelo y otro archivo LNK que imita un documento de Hangul Word Processor (HWP). También se despliegan payloads intermedios para establecer persistencia y lanzar un script de PowerShell, que luego utiliza Dropbox como canal C2 para obtener un script por lotes.
El archivo por lotes descarga dos fragmentos ZIP separados de un servidor remoto ("quickcon[.]store") y los combina para crear un único archivo, extrayendo un programador de tareas XML y una puerta trasera Python. El programador de tareas se utiliza para lanzar el implante.
El malware basado en Python admite la capacidad de descargar payloads adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones permiten ejecutar scripts de shell, listar directorios, cargar/descargar/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.
Los hallazgos también coinciden con el cambio de ScarCruft de las cadenas de ataque tradicionales basadas en LNK a un dropper basado en OLE de HWP para entregar RokRAT, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano, según S2W. Específicamente, el malware se incrusta como un objeto OLE dentro de un documento HWP y se ejecuta mediante DLL side-loading.
"A diferencia de cadenas de ataque anteriores que progresaban desde scripts BAT descargados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recién desarrollado para entregar shellcode y el payload RokRAT", dijo la empresa de seguridad surcoreana.
