SOC Prime Bias: Crítico

20 Ene 2026 20:27
newspaper icon co.kr

Operación Poseidón: Ataques de Spear-Phishing Que Abusan de los Mecanismos de Redirección de Google Ads

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operación Poseidón: Ataques de Spear-Phishing Que Abusan de los Mecanismos de Redirección de Google Ads
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Operación Poseidon es una campaña de spear-phishing atribuida al Konni APT que aprovecha los URLs de seguimiento/redirección de clics de anuncios de Google y Naver para entregar archivos LNK maliciosos. Al abrirse, el LNK activa un cargador AutoIt que ejecuta EndRAT predominantemente en la memoria. La operación se basa en sitios de WordPress comprometidos para el alojamiento de cargas útiles y servicios de comando y control (C2).

Investigación

El Centro de Seguridad de Genians revisó los cebos de correos electrónicos de phishing, balizas de seguimiento incrustadas y el flujo de ejecución de extremo a extremo: desde el lanzamiento del atajo LNK hasta la lógica de puesta en escena de AutoIt y el despliegue de EndRAT en la memoria. Los analistas también notaron la reutilización de artefactos de infraestructura y desarrollo, incluido el dominio jlrandsons.co.uk y la ruta de compilación D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.

Mitigación

Prevenga la ejecución de archivos LNK entregados dentro de archivos ZIP y examine las cadenas de redirección de clics en anuncios que se originan en dominios de seguimiento de Google/Naver. Aplique una cobertura estricta de EDR para la actividad de AutoIt y la generación de procesos sospechosos (notablemente lanzamientos anormales de PowerShell o cmd.exe). Reduzca el abuso de infraestructura reforzando y parcheando rutinariamente las instancias de WordPress para limitar su uso como puntos de distribución de malware.

Respuesta

Alerte sobre eventos iniciales de ejecución de LNK, marque ejecuciones de AutoIt.exe iniciadas por interacción del usuario y monitoree las conexiones salientes a los dominios e IPs de C2 identificados. Cuarentene los puntos finales sospechosos y recoja artefactos forenses, incluido el script de AutoIt, metadatos del LNK y cualquier componente EndRAT recuperado, para apoyar el alcance y la erradicación.

«graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[«<b>Acción</b> – <b>T1566.001 Archivo adjunto de spearphishing</b><br /><b>Descripción</b>: Envío de correo electrónico de spearphishing con un archivo ZIP malicioso que contiene un atajo LNK.»] class node_phishing action node_user_execution[«<b>Acción</b> – <b>T1204.001 Ejecución de Enlace Malicioso por Usuario</b><br /><b>Descripción</b>: La víctima hace clic en una URL de redirección (ad.doubleclick.net) que lleva a una descarga maliciosa.»] class node_user_execution action node_lnk_smuggling[«<b>Acción</b> – <b>T1027.012 Contrabando de Icono LNK</b><br /><b>Descripción</b>: El atajo LNK oculta una carga útil maliciosa detrás de un ícono benigno y lanza un script de AutoIt.»] class node_lnk_smuggling action node_autohotkey_autoit[«<b>Acción</b> – <b>T1059.010 Intérprete de Comandos y Scripts AutoHotKey y AutoIT</b><br /><b>Descripción</b>: El script de AutoIt, disfrazado como PDF, carga la carga útil de EndRAT directamente en la memoria.»] class node_autohotkey_autoit action node_masquerade[«<b>Acción</b> – <b>T1036.008 Tipo de Archivo Disfrazado</b><br /><b>Descripción</b>: El script malicioso se presenta con una extensión .pdf para parecer legítimo.»] class node_masquerade action node_web_service[«<b>Acción</b> – <b>T1102 Servicio Web</b><br /><b>Descripción</b>: Un sitio de WordPress comprometido se utiliza para alojar la carga útil y comunicarse con el servidor de comando y control.»] class node_web_service action %% Connections node_phishing u002du002d>|leads_to| node_user_execution node_user_execution u002du002d>|leads_to| node_lnk_smuggling node_lnk_smuggling u002du002d>|leads_to| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|leads_to| node_masquerade node_autohotkey_autoit u002du002d>|leads_to| node_web_service «

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:

    Un atacante elabora un acceso directo malintencionado (malicioso.lnk) que apunta a powershell.exe con un comando codificado para descargar y ejecutar una carga útil. El acceso directo se entrega a través de un correo electrónico de spear-phishing. Al hacer doble clic, el Explorador de Windows resuelve el .lnk, generando powershell.exe como hijo del proceso LNK. Esta relación exacta de padre-hijo satisface la ejecución_detrás_de_LNK condición de la regla Sigma.

  • Guion de Prueba de Regresión:

    # -------------------------------------------------------------
# Crear un acceso directo LNK malicioso que lanza PowerShell con un comando codificado
# -------------------------------------------------------------
$WshShell = New-Object -ComObject WScript.Shell

# Ruta donde se creará el LNK (Escritorio)
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"

# Ejecutable objetivo
$target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe"

# Ejemplo de comando codificado (crea un archivo de texto como un indicador inofensivo)
$plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd)
$encoded = [Convert]::ToBase64String($bytes)

$arguments = "-EncodedCommand $encoded"

$shortcut = $WshShell.CreateShortcut($lnkPath)
$shortcut.TargetPath = $target
$shortcut.Arguments = $arguments
$shortcut.Save()

Write-Host "LNK creado en $lnkPath"

# -------------------------------------------------------------
# Ejecutar el LNK para activar la regla de detección
# -------------------------------------------------------------
Start-Process -FilePath $lnkPath

# -------------------------------------------------------------
# Opcional: pausar para permitir la ingesta de SIEM
# -------------------------------------------------------------
Start-Sleep -Seconds 10

# -------------------------------------------------------------
# Limpieza (eliminar el archivo indicador, el LNK y el indicador)
# -------------------------------------------------------------
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Limpieza completada."

  • Comandos de Limpieza: (si el script anterior no se usa)

    # Eliminar cualquier archivo indicador creado durante la prueba
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue

# Eliminar el acceso directo malicioso
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Artefactos de prueba eliminados."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis