Un reciente informe de Kaspersky reveló que al menos seis organizaciones en Corea del Sur de sectores como TI, finanzas, telecomunicaciones y semiconductores  fueron blanco del grupo Lazarus en una campaña identificada como Operation SyncHole.

Detectada por primera vez en noviembre de 2024, esta operación combina ataques de tipo watering hole con la explotación de vulnerabilidades en software ampliamente utilizado en el país. Entre los fallos explotados destaca una vulnerabilidad de día cero en Cross EX, software legítimo empleado en sitios gubernamentales y de banca en línea surcoreanos, así como una falla crítica en Innorix Agent, utilizada para movimientos laterales en redes comprometidas. Estas brechas permitieron desplegar variantes de herramientas conocidas de Lazarus, como ThreatNeedle, wAgent, SIGNBT, AGAMEMNON y COPPERHEDGE.

La infección comienza cuando las víctimas acceden a medios de comunicación comprometidos, donde un script filtra a los visitantes y redirige a los objetivos a un dominio controlado por los atacantes. Allí, se explota Cross EX para ejecutar código malicioso, inyectando shellcode en procesos legítimos como SyncHost.exe e iniciando el despliegue de malware.

El ataque se divide en fases: primero se utilizan ThreatNeedle y wAgent para comprometer el sistema, seguido de SIGNBT y COPPERHEDGE, que aseguran la persistencia, realizan reconocimiento y permiten el robo de credenciales. Además, el malware LPEClient se emplea para perfilar víctimas y entregar cargas útiles, mientras que Agamemnon funciona como downloader, utilizando técnicas como Hell’s Gate para evadir defensas.

Kaspersky concluye que los ataques del grupo Lazarus, enfocados en la cadena de suministro surcoreana, continuarán evolucionando. El grupo demuestra un conocimiento profundo del ecosistema local y refuerza constantemente sus herramientas para evadir la detección y mantener el acceso a sistemas comprometidos.

Fuente: thehackernews.com