APT37 abusa de Facebook, Telegram y un instalador manipulado en un nuevo ataque de intrusión dirigido

Un grupo de amenazas patrocinado por el Estado norcoreano conocido como APT37 ha lanzado una nueva campaña de intrusión dirigida utilizando plataformas de redes sociales, aplicaciones de mensajería cifradas y un instalador de software cuidadosamente manipulado para comprometer a las víctimas. El ataque se destaca por lo convincente que imita las interacciones digitales cotidianas, lo que hace mucho más difícil para los objetivos reconocer la amenaza antes de que se produzca un daño real.

El actor de amenazas creó dos cuentas de Facebook, “richardmichael0828” y “johnsonsophia0414”, ambas registradas el 10 de noviembre de 2025, con ubicaciones de perfil configuradas en Pyongyang y Pyongsong, Corea del Norte. Después de enviar solicitudes de amistad a objetivos cuidadosamente seleccionados, el actor generó confianza a través de conversaciones individuales en Messenger y luego desvió la discusión hacia la tecnología de armas militares. El actor afirmó estar compartiendo archivos PDF cifrados que contenían datos clasificados de armas militares y les dijo a los objetivos que necesitaban un visor especial para abrir esos archivos. Entrega de archivos a través de Telegram (Fuente – Genians) El instalador manipulado se parecía mucho al software oficial Wondershare PDFelement pero no llevaba una firma digital válida, un claro indicador de que el binario había sido modificado.

Ejecución de Shellcode e inyección de procesos La parte técnicamente más refinada de este ataque fue el código shell incrustado en el instalador manipulado mediante un método conocido como parche PE o inyección de código cavernoso. La publicación APT37 abusa de Facebook, Telegram y un instalador manipulado en un nuevo ataque de intrusión dirigido apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗