## Actores de la RPDC Abusan de GitHub para C2 Investigadores han observado a actores de amenazas, probablemente asociados con la República Popular Democrática de Corea (RPDC), explotando **GitHub** como infraestructura de comando y control (C2). Esta táctica se utiliza en ataques multietapa dirigidos a organizaciones en Corea del Sur.  Según un informe de **Fortinet FortiGuard Labs**, la secuencia de ataque comienza con archivos ofuscados de acceso directo de Windows (LNK). Estos archivos dejan caer un documento PDF señuelo y un script de **PowerShell** que prepara el escenario para fases de ataque posteriores. Se cree que los archivos LNK se distribuyen a través de correos electrónicos de phishing. Una vez que se descargan los payloads, la víctima ve el documento PDF, mientras que el script malicioso de **PowerShell** se ejecuta silenciosamente en segundo plano. El script incluye verificaciones para evadir el análisis detectando procesos en ejecución relacionados con máquinas virtuales, depuradores y herramientas forenses. Si se encuentran dichos procesos, el script termina inmediatamente. ## Persistencia y Exfiltración Si las verificaciones iniciales son exitosas, el script extrae un VBScript (Visual Basic Script) y establece persistencia utilizando una tarea programada. Esta tarea lanza el payload de **PowerShell** cada 30 minutos en una ventana oculta, asegurando la ejecución después de cada reinicio del sistema. A continuación, el script de **PowerShell** perfila el host comprometido, guarda los resultados en un archivo de registro y exfiltra los datos a un repositorio de **GitHub** bajo la cuenta "motoralis" utilizando un token de acceso codificado. Otras cuentas de **GitHub** utilizadas en esta campaña incluyen "God0808RAMA", "Pigresy80", "entire73", "pandora0009" y "brandonleeodd93-blip". El script luego analiza un archivo específico en el mismo repositorio de **GitHub** para recuperar módulos o instrucciones adicionales. Esto permite al atacante aprovechar la confianza asociada con **GitHub** para mezclarse y mantener un control persistente sobre el host infectado.  ## Modus Operandi de Kimsuky **Fortinet** señala que versiones anteriores de esta campaña utilizaron archivos LNK para propagar familias de malware como Xeno RAT. El uso de C2 de **GitHub** para distribuir Xeno RAT y su variante MoonPeak ha sido documentado previamente por **ENKI** y **Trellix**, atribuyendo estos ataques al grupo patrocinado por el estado norcoreano, **Kimsuky**. La investigadora de seguridad Cara Lin destaca la estrategia del atacante: "En lugar de depender de malware personalizado complejo, el actor de amenazas utiliza herramientas nativas de Windows para la implementación, evasión y persistencia. Al minimizar el uso de archivos PE descargados y aprovechar LolBins, el atacante puede dirigirse a una audiencia amplia con una baja tasa de detección". ## Ataques Similares Basados en LNK La divulgación coincide con el detalle de **AhnLab** sobre una cadena de infección similar basada en LNK de **Kimsuky**, que conduce a la implementación de un backdoor basado en **Python**. Este ataque también involucra archivos LNK que ejecutan un script de **PowerShell** y crean una carpeta oculta en la ruta "C:\windirr" para almacenar payloads, incluido un PDF señuelo y otro archivo LNK que imita un documento de Hangul Word Processor (HWP). Se implementan payloads intermedios para establecer persistencia y lanzar un script de **PowerShell**, que utiliza **Dropbox** como canal C2 para obtener un script batch. Este archivo batch descarga fragmentos de archivos ZIP de un servidor remoto, los combina, extrae un programador de tareas XML y un backdoor de **Python**, y utiliza el programador de tareas para lanzar el implante. El malware basado en **Python** puede descargar payloads adicionales y ejecutar comandos desde el servidor C2, incluyendo la ejecución de scripts de shell, listado de directorios, carga/descarga/eliminación de archivos y ejecución de archivos BAT, VBScript y EXE. ## Tácticas en Evolución de ScarCruft Estos hallazgos también se alinean con el cambio de **ScarCruft** de cadenas de ataque tradicionales basadas en LNK a un dropper basado en OLE de HWP para entregar **RokRAT**, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano. Según **S2W**, el malware está incrustado como un objeto OLE dentro de un documento HWP y se ejecuta a través de carga lateral de DLL. "A diferencia de las cadenas de ataque anteriores que progresaron de scripts BAT dejados por LNK a shellcode, este caso confirma el uso de malware dropper y downloader recién desarrollado para entregar shellcode y el payload **RokRAT**", declaró **S2W**.