El Grupo Lazarus lidera las menciones globales de hackeos mientras aumentan los ataques de spear phishing

Según un informe de la empresa de seguridad surcoreana AhnLab, organizaciones de hackeo vinculadas a estados como el Grupo Lazarus, respaldado por Corea del Norte, dependieron en gran medida del phishing dirigido para robar fondos y recopilar inteligencia durante los últimos 12 meses. El grupo a menudo se hacía pasar por organizadores de conferencias, contactos laborales o colegas para engañar a las personas y hacer que abrieran archivos o ejecutaran comandos.

Grupo Lazarus: El Phishing Dirigido Se Vuelve Más Realista Con Señuelos de IA

Los informes han revelado que una unidad conocida como Kimsuky utilizó inteligencia artificial para falsificar imágenes de identificación militar y colocarlas dentro de un archivo ZIP para hacer que los mensajes parecieran legítimos.

Los investigadores de seguridad afirman que las identificaciones falsas eran lo suficientemente convincentes como para que los destinatarios abrieran los archivos adjuntos, que luego ejecutaban código oculto. El incidente ha sido rastreado hasta mediados de julio de 2025 y parece marcar un avance en la forma en que los atacantes elaboran sus señuelos.

El objetivo es simple. Lograr que un usuario confíe en un mensaje, abra un archivo, y el atacante obtiene una forma de entrar. Ese acceso puede llevar al robo de credenciales, malware sembrado o billeteras cripto vaciadas. Los grupos vinculados a Pyongyang han sido relacionados con ataques a objetivos financieros y de defensa, entre otros.

Víctimas del Grupo Lazarus Inducidas a Ejecutar Comandos

Algunas campañas no dependían solo de exploits ocultos. En varios casos, los objetivos fueron engañados para que escribieran ellos mismos comandos de PowerShell, a veces creyendo que estaban siguiendo instrucciones oficiales.

Ese paso permite a los atacantes ejecutar scripts con altos privilegios sin necesitar un zero-day. Los medios de seguridad han advertido que este truco social se está extendiendo y puede ser difícil de detectar.

Grupo Lazarus: Tipos de Archivos Antiguos, Nuevos Trucos

Los atacantes también abusaron de archivos de acceso directo de Windows y formatos similares para ocultar comandos que se ejecutan silenciosamente cuando se abre un archivo. Los investigadores han documentado casi 1.000 muestras maliciosas de .lnk vinculadas a campañas más amplias, lo que demuestra que los tipos de archivos familiares siguen siendo un método de entrega favorito. Esos accesos directos pueden ejecutar argumentos ocultos y descargar cargas útiles adicionales.

Por Qué Esto Importa Ahora

Esto hace que los ataques sean más difíciles de detener: mensajes personalizados, imágenes falsificadas con IA y trucos que piden a los usuarios que ejecuten código. La autenticación de dos factores (2FA) y los parches de software ayudan, pero entrenar a las personas para tratar las solicitudes inusuales con sospecha sigue siendo clave. Los equipos de seguridad recomiendan redes de seguridad básicas: actualizar, verificar y, en caso de duda, consultar con un contacto conocido.

Según los informes, el Grupo Lazarus y Kimsuky continúan activos. Lazarus, según los hallazgos de AhnLab, recibió la mayor cantidad de menciones en los análisis posteriores a delitos cibernéticos durante los últimos 12 meses. El grupo ha sido señalado por hackeos con motivaciones financieras, mientras que Kimsuky parece más enfocado en la recopilación de inteligencia y el engaño personalizado.

Imagen destacada de Anadolu, gráfico de TradingView