SOC Prime Bias: Crítico

20 Jan 2026 17:27 UTC

Operación Poseidón: Ataques de Spear-Phishing Que Abusan de los Mecanismos de Redirección de Google Ads

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operación Poseidón: Ataques de Spear-Phishing Que Abusan de los Mecanismos de Redirección de Google Ads
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Operación Poseidon es una campaña de spear-phishing atribuida al Konni APT que aprovecha los URLs de seguimiento/redirección de clics de anuncios de Google y Naver para entregar archivos LNK maliciosos. Al abrirse, el LNK activa un cargador AutoIt que ejecuta EndRAT predominantemente en la memoria. La operación se basa en sitios de WordPress comprometidos para el alojamiento de cargas útiles y servicios de comando y control (C2).

Investigación

El Centro de Seguridad de Genians revisó los cebos de correos electrónicos de phishing, balizas de seguimiento incrustadas y el flujo de ejecución de extremo a extremo: desde el lanzamiento del atajo LNK hasta la lógica de puesta en escena de AutoIt y el despliegue de EndRAT en la memoria. Los analistas también notaron la reutilización de artefactos de infraestructura y desarrollo, incluido el dominio jlrandsons.co.uk y la ruta de compilación D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.

Mitigación

Prevenga la ejecución de archivos LNK entregados dentro de archivos ZIP y examine las cadenas de redirección de clics en anuncios que se originan en dominios de seguimiento de Google/Naver. Aplique una cobertura estricta de EDR para la actividad de AutoIt y la generación de procesos sospechosos (notablemente lanzamientos anormales de PowerShell o cmd.exe). Reduzca el abuso de infraestructura reforzando y parcheando rutinariamente las instancias de WordPress para limitar su uso como puntos de distribución de malware.

Respuesta

Alerte sobre eventos iniciales de ejecución de LNK, marque ejecuciones de AutoIt.exe iniciadas por interacción del usuario y monitoree las conexiones salientes a los dominios e IPs de C2 identificados. Cuarentene los puntos finales sospechosos y recoja artefactos forenses, incluido el script de AutoIt, metadatos del LNK y cualquier componente EndRAT recuperado, para apoyar el alcance y la erradicación.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:

    Un atacante elabora un acceso directo malintencionado (malicioso.lnk) que apunta a powershell.exe con un comando codificado para descargar y ejecutar una carga útil. El acceso directo se entrega a través de un correo electrónico de spear-phishing. Al hacer doble clic, el Explorador de Windows resuelve el .lnk, generando powershell.exe como hijo del proceso LNK. Esta relación exacta de padre-hijo satisface la ejecución_detrás_de_LNK condición de la regla Sigma.

  • Guion de Prueba de Regresión:

    # -------------------------------------------------------------
    # Crear un acceso directo LNK malicioso que lanza PowerShell con un comando codificado
    # -------------------------------------------------------------
    $WshShell = New-Object -ComObject WScript.Shell
    
    # Ruta donde se creará el LNK (Escritorio)
    $lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
    
    # Ejecutable objetivo
    $target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe"
    
    # Ejemplo de comando codificado (crea un archivo de texto como un indicador inofensivo)
    $plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force"
    $bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd)
    $encoded = [Convert]::ToBase64String($bytes)
    
    $arguments = "-EncodedCommand $encoded"
    
    $shortcut = $WshShell.CreateShortcut($lnkPath)
    $shortcut.TargetPath = $target
    $shortcut.Arguments = $arguments
    $shortcut.Save()
    
    Write-Host "LNK creado en $lnkPath"
    
    # -------------------------------------------------------------
    # Ejecutar el LNK para activar la regla de detección
    # -------------------------------------------------------------
    Start-Process -FilePath $lnkPath
    
    # -------------------------------------------------------------
    # Opcional: pausar para permitir la ingesta de SIEM
    # -------------------------------------------------------------
    Start-Sleep -Seconds 10
    
    # -------------------------------------------------------------
    # Limpieza (eliminar el archivo indicador, el LNK y el indicador)
    # -------------------------------------------------------------
    Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
    Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue
    
    Write-Host "Limpieza completada."
  • Comandos de Limpieza: (si el script anterior no se usa)

    # Eliminar cualquier archivo indicador creado durante la prueba
    Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
    
    # Eliminar el acceso directo malicioso
    $lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
    Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue
    
    Write-Host "Artefactos de prueba eliminados."