Un grupo de hackers con vínculos con el Estado norcoreano ha explotado redes de publicidad en línea operadas por la empresa tecnológica estadounidense Google y el portal web surcoreano Naver para entregar malware a usuarios desprevenidos, según un informe de ciberseguridad. La campaña, rastreada por los investigadores como “Operación Poseidón”, utilizó URLs publicitarias legítimas para construir enlaces maliciosos que eluden los filtros de seguridad y ocultan la distribución de malware.
La actividad fue analizada por Genians Security Center , una empresa de ciberseguridad con sede en Corea del Sur. El informe atribuye la operación a Konni, un grupo avanzado de amenazas persistentes asociado con operaciones cibernéticas respaldadas por Pyongyang. Los investigadores descubrieron que los atacantes integraron mecanismos de entrega de malware en sistemas de seguimiento y redirección de clics publicitarios, que son una parte normal de la infraestructura de publicidad online.
En lugar de alojar malware en dominios claramente maliciosos, los atacantes usaron cadenas de redirección que comenzaron con enlaces publicitarios aparentemente legítimos en Google y Naver. Estos enlaces redirigían a las víctimas a través de una serie de redirecciones antes de aterrizar en servidores controlados por el atacante que iniciaban la ejecución de malware. Este método permitía que los enlaces evadisen los controles de seguridad convencionales que inspeccionan el tráfico web en busca de amenazas.
La carga útil de malware identificada en la campaña fue EndRAT, una herramienta de acceso remoto entregada en forma disfrazada. Los atacantes usaron un script AutoIt disfrazado de archivo PDF inofensivo para ejecutar el malware en los sistemas víctimas. Los investigadores señalaron que la operación demostró un nivel de sofisticación técnica, incluyendo identificadores de desarrollo que sugieren un mantenimiento y evolución continuos del conjunto de herramientas utilizado por los hackers.
Parte de la estrategia de los atacantes consistía en técnicas de ingeniería social para aumentar la percepción de legitimidad. Según el informe, los correos electrónicos asociados a la operación contenían largos bloques de texto en inglés irrelevante diseñados para confundir los sistemas automáticos de detección y reducir la probabilidad de que los filtros marquen los mensajes como maliciosos.
El análisis de Genians vinculó la actividad observada con campañas previas de Konni basándose en solapamientos en infraestructuras y componentes de malware. El informe señala que el grupo tiene un historial de ataques de ingeniería social, incluyendo la suplantación de organizaciones como grupos de derechos humanos e instituciones financieras en Corea del Sur.
Investigadores de seguridad han documentado una tendencia más amplia de actores amenazantes que utilizan plataformas de confianza y flujos de trabajo familiares para difundir malware y evadir la detección. En algunos incidentes recientes relacionados con grupos vinculados a Corea del Norte, actores maliciosos también han utilizado herramientas como códigos QR en campañas de spear-phishing para eludir los controles de seguridad empresariales dirigiendo a las víctimas a contenido malicioso en dispositivos móviles.
La operación pone de manifiesto los desafíos para proteger ecosistemas complejos de publicidad online frente al abuso. Las plataformas publicitarias suelen depender de mecanismos de redirección y seguimiento que pueden ser reutilizados por actores maliciosos para ocultar actividades dañinas. El informe subraya la necesidad de mejorar la monitorización y la detección de amenazas que puedan identificar y bloquear tráfico malicioso dentro de infraestructuras publicitarias de aspecto legítimo.
El contexto más amplio de las operaciones cibernéticas vinculadas al Estado atribuidas a grupos norcoreanos incluye una variedad de tácticas como el spearphishing, la distribución de software espía y la explotación de servicios de gestión de dispositivos, ilustrando un entorno de amenazas en evolución que apunta a usuarios web y organizaciones de todo el mundo.