Evolución Táctica del Grupo Lazarus: Cadena de Infección con Múltiples RATs
Descripción
De acuerdo con información publicada en múltiples fuentes abiertas y reportes públicos de investigación en ciberseguridad, el equipo de Cyber Threat Intelligence de Silent4Business realizó un análisis y correlación de inteligencia de amenazas sobre la cadena de infección del Grupo Lazarus, actor de amenazas vinculado a Corea del Norte.
En este contexto, el objetivo principal de la campaña es el robo de información sensible, incluyendo credenciales, cookies de sesión e información bancaria, con la finalidad de facilitar el acceso inicial a organizaciones del sector financiero, con un énfasis particular en criptomonedas y Finanzas Descentralizadas (DeFi).
Detalles de la amenaza
Vector inicial de ataque e ingeniería social
Inicialmente, la cadena de infección se inicia cuando el actor de amenazas recurre a técnicas avanzadas de ingeniería social, haciéndose pasar por un empleado legítimo de una empresa comercial mediante plataformas de mensajería como Telegram. Asimismo, se identificó un vector adicional que consiste en el uso de sitios web de phishing que simulan servicios legítimos como Calendly y Picktime, con el objetivo de programar reuniones falsas y facilitar el compromiso inicial de la víctima.
Adicionalmente, se detectó que el grupo explota vulnerabilidades zero-day o vulnerabilidades conocidas, lo que incrementa la probabilidad de éxito del ataque y reduce las oportunidades de detección temprana.
Cadena de infección del Grupo Lazarus: enfoque multietapa
Derivado de lo anterior, la cadena de infección del Grupo Lazarus se caracteriza por un enfoque multietapa que combina distintos RATs con funciones específicas, desplegando progresivamente tres malware de tipo RAT, cada uno con un rol específico dentro de la operación. A continuación, se describe el proceso de despliegue y sus objetivos tácticos.
RemotePE y la fase avanzada de la cadena de infección del Grupo Lazarus
El RAT PondRAT es el primer malware utilizado en la cadena de ataque del Grupo Lazarus y se emplea principalmente durante las fases iniciales de intrusión.
Objetivos de PondRAT para Lazarus
Acceso inicial mediante ataques a la cadena de suministro
PondRAT se distribuye a través de paquetes Python maliciosos alojados en PyPI u otros repositorios de código abierto. De este modo, el grupo logra infectar aplicaciones o software que son instalados por las víctimas sin sospecharlo.
RAT ligero y multiplataforma
Desde un punto de vista operativo, se trata de una versión simplificada de POOLRAT (también conocido como SIMPLESEA). Además, funciona tanto en Linux como en macOS, lo que proporciona flexibilidad operativa en entornos heterogéneos.
Funciones básicas de espionaje y control
Entre sus capacidades se incluyen la ejecución de comandos arbitrarios, la exfiltración de archivos hacia servidores de comando y control (C2) y la descarga y ejecución de payloads adicionales. En consecuencia, PondRAT permite establecer una backdoor inicial, facilitando la instalación de herramientas más avanzadas.
Uso táctico
Desde un punto de vista operativo, PondRAT actúa como un RAT temporal, utilizado para reconocimiento inicial y movimiento lateral limitado antes de escalar la intrusión.
ThemeForestRAT: control intermedio y sigilo
En este sentido, el RAT ThemeForestRAT cumple un rol intermedio dentro de la operación, siendo desplegado después de PondRAT y antes de la implantación del RAT avanzado RemotePE.
Objetivos principales de ThemeForestRAT
Operación en memoria (fileless)
ThemeForestRAT se ejecuta directamente en memoria, sin escribir binarios en disco. Como resultado, su detección por antivirus o soluciones EDR tradicionales se vuelve considerablemente más compleja.
Reconocimiento y control remoto
Este malware establece comunicación con el servidor C2 a través de HTTP(S) y permite ejecutar hasta 20 tipos de comandos, incluyendo:
- Enumeración y manipulación de archivos y directorios.
- Pruebas de conectividad TCP para mapeo de red.
- Ejecución de comandos del sistema.
- Listado y finalización de procesos.
- Inyección de shellcode en otros procesos.
- Descarga de archivos adicionales.
- Alteración de marcas de tiempo (timestomping).
Monitoreo de sesiones RDP
Asimismo, ThemeForestRAT supervisa nuevas conexiones de Escritorio Remoto (RDP), lo que permite al atacante espiar o interceptar actividades administrativas en los sistemas comprometidos.
Sigilo y preparación para fases avanzadas
En este contexto, su despliegue proporciona a Lazarus la capacidad de moverse lateralmente, recolectar información sensible y preparar el entorno antes de implantar el RAT más avanzado.
Herencia histórica
Finalmente, comparte código y técnicas con RomeoGolf, utilizado durante el ataque destructivo contra Sony Pictures en 2014 (Operation Blockbuster), lo que demuestra la reutilización y evolución continua de herramientas por parte del grupo Lazarus.
RemotePE: persistencia avanzada y control prolongado
El RAT RemotePE no es el primer malware desplegado, sino una herramienta de etapa avanzada utilizada una vez que el grupo ha obtenido acceso, reconocimiento y credenciales dentro de la red.
Persistencia y control prolongado
RemotePE reemplaza a los RATs iniciales (PondRAT y ThemeForestRAT) y se emplea para mantener el acceso a largo plazo, reduciendo la probabilidad de detección.
Herramienta dirigida a objetivos de alto valor
En campañas dirigidas a organizaciones estratégicas, particularmente en DeFi o infraestructura crítica, Lazarus elimina herramientas temporales y despliega RemotePE como componente principal.
Protección ambiental mediante DPAPI
Programado en C++, utiliza Windows DPAPI (Data Protection API) para vincularse al entorno específico del sistema comprometido. En consecuencia:
- El malware solo puede ejecutarse correctamente en ese sistema.
- Se dificulta su análisis en entornos aislados o sandboxes.
Carga modular mediante loaders
RemotePE es descargado desde el C2 mediante un RemotePELoader, iniciado a su vez por DPAPILoader. Esta arquitectura modular permite desplegar el malware únicamente cuando es necesario, reduciendo la exposición operativa.
Impacto operativo y alcance
La campaña presenta impacto a nivel internacional, con riesgos asociados al robo de información, espionaje y establecimiento de infraestructura de comando y control, afectando principalmente a organizaciones del sector financiero y de activos digitales.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
| ID de Táctica | Táctica | Descripción de Táctica | Técnica / Subtécnica Aplicada |
| TA0001 | Initial Access | El adversario intenta entrar en la red de la víctima. | T1566.002 Spearphishing Link (Telegram, LinkedIn, calendarios falsos). |
| TA0001 | Initial Access | El adversario intenta entrar en la red de la víctima. | T1195.002 Supply Chain Compromise (PyPI packages). |
| TA0002 | Execution | El adversario ejecuta código malicioso en el sistema de la víctima. | T1203 Exploitation for Client Execution. |
| TA0003 | Persistence | Mantener acceso continuo en el sistema. | T1547.001 Registry Run Keys / Startup Folder. |
| TA0003 | Persistence | Mantener acceso continuo en el sistema. | T1547.009 Shortcut Modification. |
| TA0004 | Privilege Escalation | Obtención de privilegios elevados. | T1134.002 Access Token Manipulation (CreateProcessAsUserA). |
| TA0005 | Defense Evasion | Evitar detección o bloqueo. | T1562.001 Disable or Modify Tools. |
| TA0005 | Defense Evasion | Evitar detección o bloqueo. | T1562.004 Disable or Modify Firewall. |
| TA0005 | Defense Evasion | Evitar detección o bloqueo. | T1070.004 File Deletion. |
| TA0005 | Defense Evasion | Evitar detección o bloqueo. | T1070.006 Timestomp. |
| TA0005 | Defense Evasion | Evitar defensas. | T1027.002 Software Packing. |
| TA0005 | Defense Evasion | Evitar defensas. | T1027.007 Dynamic API Resolution. |
| TA0005 | Defense Evasion | Evitar defensas. | T1027.009 Embedded Payloads. |
| TA0005 | Defense Evasion | Evitar defensas. | T1027.013 Encrypted/Encoded File. |
| TA0006 | Credential Access | Obtener credenciales. | T1056.001 Keylogging. |
| TA0006 | Credential Access | Obtener credenciales. | T1557.001 LLMNR/NBT-NS Poisoning. |
| TA0006 | Credential Access | Obtener credenciales. | T1110.003 Password Spraying. |
| TA0007 | Discovery | Reconocimiento dentro del sistema. | T1087.002 Domain Account Discovery. |
| TA0007 | Discovery | Reconocimiento dentro del sistema. | T1098 Account Manipulation. |
| TA0007 | Discovery | Reconocimiento. | T1010 Application Window Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1560 Archive Collected Data (RAR, ZIP, XOR). |
| TA0007 | Discovery | Reconocimiento. | T1083 File and Directory Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1680 Local Storage Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1057 Process Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1033 System Owner/User Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1082 System Information Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1614.001 System Language Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1016 System Network Configuration Discovery. |
| TA0007 | Discovery | Reconocimiento. | T1049 System Network Connections Discovery. |
| TA0008 | Lateral Movement | Movimiento lateral. | T1021.001 Remote Desktop Protocol (RDP). |
| TA0008 | Lateral Movement | Movimiento lateral. | T1021.002 SMB/Windows Admin Shares. |
| TA0008 | Lateral Movement | Movimiento lateral. | T1021.004 SSH. |
| TA0008 | Lateral Movement | Movimiento lateral. | T1090.001 Internal Proxy. |
| TA0009 | Collection | Recopilación de datos. | T1005 Data from Local System. |
| TA0009 | Collection | Recopilación. | T1114 Email Collection / info desde documentos. |
| TA0010 | Exfiltration | Robo de información. | T1048.003 Exfiltration Over Unencrypted Non-C2 Protocol. |
| TA0010 | Exfiltration | Robo de información. | T1041 Exfiltration Over C2 Channel. |
| TA0010 | Exfiltration | Robo de información. | T1567.002 Exfiltration to Cloud Storage (Dropbox). |
| TA0011 | Command and Control | Comunicación con C2. | T1071.001 Web Protocols (HTTP/HTTPS) |
| TA0011 | Command and Control | Comunicación con C2. | T1573.001 Symmetric Cryptography. |
Recomendaciones de seguridad
De acuerdo con la información analizada, se emiten las siguientes recomendaciones generales para mitigar el riesgo asociado a esta amenaza:
Agregar los Indicadores de Compromiso (IoCs) asociados a la amenaza en las plataformas de seguridad de la organización (SIEM, EDR, IDS/IPS, firewalls, herramientas de análisis de tráfico y sistemas de reputación), con el fin de fortalecer la capacidad de detección temprana, bloqueo preventivo y correlación de eventos relacionados con posibles intentos de explotación o actividad postcompromiso.
Capacitación en ingeniería social: entrenar a usuarios y empleados en la detección de phishing, perfiles falsos en LinkedIn/Telegram y páginas como Calendly o Picktime suplantados.
Bloqueo de dependencias no confiables: usar repositorios internos y revisar el código de paquetes antes de instalarlo (particularmente de PyPI y GitHub).
Aplicar el principio de mínimos privilegios y segmentar accesos por roles, reduciendo el riesgo de movimiento lateral en caso de una intrusión.
Implementar y robustecer soluciones EDR/XDR para identificar comportamientos sospechosos como conexiones remotas no autorizadas, persistencia en el sistema o exfiltración de datos.
Bloqueo de ejecución de scripts no firmados.
Autenticación multifactor (MFA) en todos los accesos críticos, incluyendo VPN, correo y sistemas financieros.
Validar el enlace o la url a la que se está accediendo.
Monitoreo de accesos privilegiados con alertas en movimientos inusuales.
Implementar políticas de cambios constantes de contraseñas con periodos de cada tres a seis meses.
Supervisar conexiones RDP (especialmente nuevas sesiones o accesos fuera de horario laboral).
Inspección profunda de tráfico (DPI) para detectar patrones de comunicación HTTP(S) con servidores C2.
Realizar copias de seguridad, sobre todo de sistemas críticos, con almacenamiento aislado.
Monitoreo constante de la infraestructura de red en busca de comportamiento anómalo.
Implementar un BCP (Plan de Continuidad del Negocio) que contemple escenarios de infección por RAT y robo de credenciales.
Conclusión
Este análisis confirma que la cadena de infección del Grupo Lazarus continúa evolucionando mediante campañas altamente estructuradas de ingeniería social y el uso de cadenas de infección multietapa basadas en distintos troyanos de acceso remoto.
En consecuencia, la combinación de suplantación de servicios legítimos, abuso de la cadena de suministro y malware con capacidades avanzadas de sigilo y persistencia evidencia un enfoque claramente orientado a objetivos de alto valor, particularmente en el sector financiero y de activos digitales.
Por ello, se refuerza la necesidad de que las organizaciones adopten una postura de seguridad proactiva, con énfasis en la concientización de usuarios, el control de dependencias de software y la detección temprana de comportamientos anómalos. El seguimiento continuo de información pública sobre este actor de amenazas resulta clave para anticipar riesgos y fortalecer las estrategias de defensa frente a un adversario con alta capacidad de adaptación.
Publicar comentario