>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-26-Las APT siempre golpean dos veces 3b53b23650a6836eb15e818e5b7df97a.md
Última modificación: 26-10-2025
Etiquetas: #CCN-CERT25

Las APT siempre golpean dos veces

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/antonio-sanz

Contexto de la charla: Antonio (de S2 Grupo) cuenta un caso real de respuesta a incidente en una pyme española de I+D con uso dual (civil/militar). Lo interesante es que no es el típico ransomware, sino un ataque APT de Lazarus (Corea del Norte) con objetivo de robo de tecnología.

Contexto general

La charla es un walkthrough completo de un incidente de ciberespionaje en una empresa tecnológica que hace I+D. El SOC detecta ejecución remota de comandos vía WMI en 5 servidores (4 críticos) con dos cuentas de administrador de dominio comprometidas. Lo que parecía ransomware terminó siendo un grupo APT norcoreano robándose propiedad intelectual. El speaker va desmenuzando todo el proceso forense desde la detección hasta la atribución final.

Conceptos clave

  • Detección inicial: SIEM alerta de ejecución remota WMI + carga de DLL desconocida en controlador de dominio → compromiso total del dominio
  • Primera reacción: cortar internet para evitar que los atacantes detonen algo (ej: ransomware) y bloquear cuentas de administrador de dominio
  • La empresa tenía "los mimbres" pero no terminaba de atar cabos: VPN sin 2FA, EDRs parciales, SIEM con integración incompleta
  • DLL Side-Loading: técnica donde los atacantes ponen una DLL maliciosa con el mismo nombre que una legítima, aprovechando el orden de búsqueda de Windows
  • Robo masivo de información: ~400 GB incluyendo código fuente y backups → no es ransomware, es exfiltración
  • Proxy SOCKS vía notepad.exe: proceso legítimo inyectado para hacer pivoting entre equipos (conexión 127.0.0.1 a 127.0.0.1)
  • Defender llevaba una semana alertando de Diamond Sleet (alias de Lazarus) pero el técnico estaba de vacaciones → nadie miraba las alertas

Desarrollo técnico

El ataque se mapea completo desde la ingeniería social hasta la exfiltración. Los atacantes usaron Intune (MDM de Office 365) con privilegios de administrador global para desplegar un PowerShell malicioso en múltiples equipos. El script descargaba un payload desde una URL europea, lo decodificaba y ejecutaba DLL side-loading con WKSPBroker.exe.

Lo más jugoso del caso es el vector de entrada por LinkedIn: perfiles falsos de recruiters contactando a administradores con ofertas de 200k€. Les pasaban a WhatsApp, les enviaban un "test técnico" (malware disfrazado de TightVNC con MugSpeed) y lo ejecutaban en su PC personal. Aquí viene el problema: uno de los admins tenía Firefox Sync activo sincronizando contraseñas Y la extensión de Microsoft Authenticator (MFA) entre su PC personal y corporativo. Cuando comprometieron su equipo de casa, obtuvieron acceso completo a Office 365 con MFA incluido.

Desde ahí: cloud → on-prem vía Intune → propagación lateral con credenciales de dominio (mismas que Office 365, mala práctica brutal). Timeline: primer acceso día 15, detección día 29. Dos semanas de fiesta para Lazarus.

Herramientas y comandos mencionados

  • WMI (Windows Management Instrumentation) → ejecución remota de comandos, deja logs 4624 en Security
  • MFT (Master File Table) → análisis forense de creación/modificación de archivos
  • RAR.exe (WinRAR) → usado por los atacantes para comprimir y exfiltrar código fuente
  • Intune → MDM de Microsoft, usado para desplegar malware vía PowerShell
  • DLL Side-Loading + DLL Hijacking → técnicas de persistencia y evasión cargando DLLs maliciosas
  • Firefox Sync → sincronización de contraseñas y extensiones (incluyendo MFA) entre dispositivos
  • sessionenv → servicio de Windows manipulado mediante parada/arranque para recargar DLL maliciosa

Términos técnicos importantes

  • Diamond Sleet: nombre de Microsoft para el grupo Lazarus
  • Lazarus: grupo APT norcoreano enfocado en robo de tecnología militar/dual, criptomonedas y ataques a bancos
  • TTP (Tactics, Techniques, Procedures): patrones de comportamiento de atacantes
  • IOC (Indicators of Compromise): indicadores técnicos de compromiso (IPs, hashes, dominios...)
  • Triaje: recolección de evidencias forenses de un equipo
  • Pivoting: moverse lateralmente entre equipos usando uno como proxy

Conclusión

Tres cosas me llevo de esta charla:

  1. Cultura de ciberseguridad no es opcional: Esta empresa ya había sido atacada por Lazarus en 2022 con el mismo vector (LinkedIn). Tres años después, misma película. Si no mantienes la concienciación, vuelves al punto de partida.
  2. Separación cloud/on-prem crítica: Usar las mismas credenciales para Office 365 y AD es un fallo brutal. En este caso permitió el pivoting directo de cloud a toda la infraestructura on-prem.
  3. Funciones clave deben tener backup: El técnico de seguridad estaba de vacaciones, nadie más tenía accesos a Defender, una semana de alertas ignoradas. Si alguien cae, debe haber alguien que pueda suplirlo.

La frase final me gusta: "Si tienen que gastar un 0-day para entrar, significa dos cosas: tienes algo que les interesa mucho y lo estás haciendo muy bien". Los APT son persistentes, no es cuestión de si atacan sino de cuándo.

Más

  • Investigar más sobre técnicas de DLL Side-Loading y cómo detectarlas
  • Revisar documentación de hardening de Intune/MDM en entornos corporativos
  • Casos documentados de Lazarus en empresas europeas (parece que van a por tecnología dual civil/militar)
  • Mejores prácticas de segregación entre entornos cloud y on-prem

<< cd ..

>_