Ataques DPRK con phishing LNK y GitHub C2: cómo funcionan y cómo protegerse

Ataques DPRK con phishing LNK y GitHub C2: cómo funcionan y cómo protegerse

por

Puntos clave

  • Los actores de amenazas vinculados a Corea del Norte están utilizando archivos LNK en campañas de phishing para atacar organizaciones de Corea del Sur.
  • La infraestructura de comando y control (C2) se aloja en GitHub, aprovechando la confianza de los entornos corporativos en esta plataforma.
  • Los atacantes han evolucionado sus tácticas, eliminando metadatos y añadiendo funciones de decodificación para evadir la detección.
  • Se utilizan scripts de PowerShell que verifican entornos de análisis y establecen persistencia mediante tareas programadas.
  • La exfiltración de datos se realiza a través de repositorios privados de GitHub, dificultando la monitorización.

Los ataques DPRK phishing LNK, respaldados por servidores de comando y control (C2) en GitHub, representan una campaña sofisticada dirigida a entidades surcoreanas. Según el informe de FortiGuard Labs, estos ataques emplean archivos LNK ofuscados en correos de phishing que despliegan un PDF señuelo y un script de PowerShell para avanzar en la intrusión. A día de hoy, en 2026, esta técnica demuestra la continua evolución de los grupos APT norcoreanos hacia métodos más sigilosos y difíciles de rastrear.

Cómo funcionan los ataques DPRK con phishing LNK y GitHub C2

💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.

La cadena de ataque comienza con un correo electrónico de phishing que contiene un archivo LNK, es decir, un acceso directo de Windows. Este fichero no es un ejecutable tradicional, lo que le permite sortear muchas defensas perimetrales. Cuando la víctima lo ejecuta, se activa un proceso en varias etapas. En primer lugar, el LNK descarga y muestra un documento PDF legítimo que actúa como señuelo para distraer al usuario. De forma simultánea y en segundo plano, se ejecuta un script de PowerShell altamente ofuscado que constituye el verdadero caballo de batalla de la intrusión. ataques DPRK phishing LNK es clave para entender el alcance de esta amenaza.

Icono de un archivo LNK (acceso directo de Windows) en el escritorio, ilustrando el tipo de fichero malicioso utilizado.
Icono de un archivo LNK (acceso directo de Windows) en el escritorio, ilustrando el tipo de fichero malicioso utilizado. — Foto: ilgmyzin vía Unsplash

El vector de entrada: archivos LNK en correos de phishing

El uso de archivos LNK como vector inicial no es nuevo, pero su eficacia persiste. Estos archivos pueden contener comandos PowerShell directamente embebidos en sus propiedades, lo que les permite lanzar scripts complejos sin necesidad de descargar binarios adicionales de forma evidente. En esta campaña, los atacantes han perfeccionado la ofuscación, integrando funciones de decodificación y cargas útiles codificadas dentro del propio LNK, lo que complica enormemente el análisis estático.

Vista de primer plano de código ofuscado en un editor de texto, mostrando la complejidad de la decodificación embebida en los LNK.
Vista de primer plano de código ofuscado en un editor de texto, mostrando la complejidad de la decodificación embebida en los LNK. — Foto: Patrick Martin vía Unsplash

La descarga del PDF señuelo y el script de PowerShell

El script de PowerShell desplegado realiza una serie de comprobaciones de entorno para detectar herramientas de análisis, como sandboxes o máquinas virtuales. Si sospecha que está siendo analizado, se detiene inmediatamente. Si no, procede a decodificar su carga útil principal y la almacena en carpetas temporales del sistema. A continuación, crea persistencia estableciendo una tarea programada (scheduled task) que se ejecuta a intervalos regulares, garantizando que el acceso del atacante sobreviva a reinicios del sistema.

La evolución de las tácticas: de la ofuscación simple a la eliminación de metadatos

Los investigadores de FortiGuard Labs han rastreado variantes de estos archivos LNK hasta 2024. Las versiones iniciales empleaban una ofuscación simple y conservaban metadatos valiosos, como el título «Hangul Document» (Documento en coreano), lo que permitía correlacionar ataques y vincularlos con la propagación de malware como XenoRAT. Sin embargo, los atacantes han aprendido de sus errores.

Mejoras en la ofuscación y decodificación embebida

En los ataques más recientes de 2026, la amenaza de phishing LNK ha dado un salto cualitativo. Los metadatos identificativos han sido eliminados por completo. Ahora, el LNK contiene únicamente una función de decodificación que recibe tres parámetros: ubicación, longitud y una clave XOR. Esta función es la responsable de decodificar tanto el PDF señuelo como el script de PowerShell de la siguiente etapa, todo ello desde dentro del mismo archivo LNK, sin dependencias externas visibles en la fase inicial.

Interfaz de GitHub en modo oscuro mostrando un repositorio privado, simbolizando su uso abusivo como infraestructura C2.
Interfaz de GitHub en modo oscuro mostrando un repositorio privado, simbolizando su uso abusivo como infraestructura C2. — Foto: Bernd 📷 Dittrich vía Unsplash

La importancia de los metadatos en la caza de amenazas

La eliminación de estos metadatos no es un detalle menor. Para los equipos de ciberinteligencia, detalles como cadenas de texto, idiomas o marcas de tiempo en los archivos son pistas cruciales para atribuir campañas y construir indicadores de compromiso (IOCs). Al pulirlos, los atacantes norcoreanos dificultan la labor de los defensores y demuestran una notable capacidad de adaptación frente a la exposición pública de sus tácticas.

El rol de GitHub como infraestructura de comando y control

La innovación más destacada de esta campaña es el abuso de GitHub como servidor de comando y control. En lugar de utilizar dominios maliciosos o servidores VPS comprometidos, los atacantes alojan sus instrucciones y recogen los datos exfiltrados en repositorios privados de GitHub. Esta técnica, conocida como «living off trusted land», aprovecha el hecho de que el tráfico hacia dominios legítimos y de alta reputación como github.com rara vez es bloqueado por los cortafuegos corporativos.

Cuentas activas y dormidas para evadir la detección

Los analistas han identificado una red de cuentas de GitHub utilizadas en estas operaciones, como ‘motoralis’, ‘God0808RAMA’, ‘Pigresy80’, ‘entire73’, ‘pandora0009’ y ‘brandonleeodd93-blip’. La estrategia es sofisticada: mientras algunas cuentas, como ‘entire73’, permanecen inactivas durante meses (cuentas dormidas), otras, como ‘brandonleeodd93-blip’, se activan justo cuando se necesita redundancia operativa. La cuenta ‘motoralis’ actúa como centro de operaciones principal, mostrando picos de actividad en repositorios privados que coinciden con oleadas de envíos de phishing.

El script «keep-alive» y la exfiltración de datos

Para mantener una conexión estable con los sistemas comprometidos, los atacantes emplean un script «keep-alive». Este script recopila periódicamente detalles de la configuración de red de la víctima y los sube a un repositorio específico en GitHub mediante una petición HTTP PUT. La ruta sigue un formato estructurado, como ‘hxxps://api[.]github[.]com/repos/motoralis/singled/contents/jjyun/network/<Fecha>_<Hora>-<Dirección_IP>-Real.log’. Esto permite a los atacantes monitorizar el estado de la red comprometida en tiempo real y planificar acciones de explotación más profundas.

Medidas de defensa y detección contra estos ataques

Frente a ataques DPRK phishing LNK que utilizan herramientas legítimas del sistema y servicios en la nube de confianza, la detección basada únicamente en firmas de malware es insuficiente. La defensa debe centrarse en el comportamiento y la monitorización de actividades anómalas dentro del entorno. Es fundamental asumir que el tráfico hacia dominios legítimos puede albergar operaciones maliciosas.

Monitorización de actividad sospechosa de PowerShell y VBScript

La piedra angular de la detección es vigilar el uso de PowerShell, VBScript y otros lenguajes de scripting. Se deben habilitar los logs de ejecución de scripts (como Module Logging y Script Block Logging) y establecer alertas para actividades inusuales, como la ejecución de PowerShell con parámetros de codificación largos, la creación de tareas programadas desde scripts o conexiones de red iniciadas por procesos de scripting hacia servicios como GitHub. El informe de FortiGuard Labs concluye que esta monitorización proactiva es clave.

Buenas prácticas para mitigar el abuso de servicios legítimos

Además de la monitorización, las organizaciones deben revisar sus políticas de filtrado web. No se trata de bloquear GitHub, sino de aplicar un modelo de «confianza cero» (Zero Trust) incluso para el tráfico hacia servicios conocidos. Se recomienda inspeccionar el tráfico SSL/TLS cuando sea posible, implementar listas de permitidos (allowlists) estrictas para la comunicación saliente de servidores críticos y formar a los usuarios para que desconfíen de archivos adjuntos inesperados, especialmente los de tipo LNK, ZIP o documentos con macros, incluso si aparentan proceder de fuentes conocidas.

Artículos relacionados

Recursos y fuentes oficiales:

¿Sabrían tus empleados detectar un ataque de phishing real?

En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.

→ Solicita información sin compromiso

Deja un comentario