APT37 ataca: ¡La nueva puerta trasera de Rust pone en peligro a los usuarios de Corea del Sur!

APT37 ataca: ¡La nueva puerta trasera de Rust pone en peligro a los usuarios de Corea del Sur!

Una nueva ola de ataques está causando revuelo en el dinámico mundo de la ciberseguridad: el grupo APT norcoreano APT37, también conocido como LScarCruft, Ruby Sleet o Velvet Chollima, ha ampliado significativamente su arsenal de malware. Lo que llama especialmente la atención es una nueva puerta trasera basada en el lenguaje de programación Rust llamada “Rustonotto”, que ataca específicamente a los sistemas Windows. Security Insider ha publicado esta información.

Los patrones de ataque de APT37 se han registrado principalmente en Corea del Sur. Estos ataques utilizan accesos directos maliciosos de Windows o archivos de ayuda HTML compilada (CHM) como punto de entrada. Todas las actividades se ejecutan a través de un único servidor de comando y control, por lo que los atacantes mantienen el control sobre los sistemas infiltrados. El análisis de amenazas del ThreatLabz de Zscaler muestra claramente que Rustonotto ha estado activo desde junio de 2025 y es el primer malware conocido basado en Rust de este grupo.

Acceso singular y técnicas sofisticadas

Los ataques no parecen estar dirigidos contra empresas o entidades gubernamentales, sino más bien contra personas con vínculos con el régimen norcoreano o asuntos políticos delicados en Corea del Sur. APT37 utiliza una combinación de varios componentes de malware, incluida la herramienta de monitoreo "FadeStealer", que no solo captura las pulsaciones de teclas, sino que también toma capturas de pantalla y registra datos de audio. Luego, estos datos se comprimen en archivos RAR protegidos con contraseña y se transfieren al servidor C2. Los análisis de seguridad muestran que el compromiso se produce mediante el uso de medidas antidetección como Transactional NTFS y Process Doppelganging, lo que dificulta aún más la detección del malware, como explica Cyberpress.

Una tarea programada disfrazada de "MicrosoftUpdate" ejecuta periódicamente la carga útil de Rustonotto, garantizando así el acceso permanente a los sistemas afectados. El malware utiliza una combinación de técnicas de codificación para cubrir sus huellas e influir en la vigilancia.

APT y sus objetivos

La BSI (Oficina Federal para la Seguridad de la Información) lleva mucho tiempo vigilando las actividades de este tipo de equipos de ataque. En sus informes, documentan los objetivos estratégicos de estos grupos, que pueden cambiar con el tiempo. El panorama de amenazas actual se caracteriza por grupos de atacantes a largo plazo que persiguen intereses específicos, con APT37 desempeñando un papel importante, y cuyo objetivo es recopilar información, como en [BSI].

Los atacantes a menudo operan en una zona legal gris, lo que hace que sus actividades sean particularmente explosivas. Con tecnologías como lenguajes de programación modernos y métodos de inyección sofisticados, APT37 ha demostrado ser no sólo amenazador sino también extremadamente adaptable. Por lo tanto, se anima a las empresas y a los particulares a repensar sus estrategias de ciberseguridad y comprobar periódicamente los sistemas existentes en busca de signos de compromiso.

El mundo de las ciberamenazas es resbaladizo y cambia constantemente, por lo que estar atento a la situación de peligro no está de más.