jordiserrano.meClickFixKAIROSIntelTracker🌐 Traducir
Panel de inteligencia » WASSONITE operations rely on deploying DTrack malware for remote access to victim machines

WASSONITE operations rely on deploying DTrack malware for remote access to victim machines

Reference 2 min lectura north-korea
Fecha
20 Jun 2026
Actor
north-korea
Tipo
Reference
Pais
India
Sector
-
Confianza
medium
55
Prioridad analitica
Media

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

1IOCs
0TTPs
north-koreaActor
IndiaPais

WASSONITE operations rely on deploying DTrack malware for remote access to victim machines

Que es

WASSONITE es un grupo de ciberdelincuencia asociado a Corea del Norte, conocido por su uso de malware como DTrack para obtener acceso remoto a dispositivos victimas. Este ataque se centra en la infección de máquinas mediante técnicas de remote access y movilidad lateral dentro de sistemas empresariales.

DTrack es un malware desarrollado por el grupo WASSONITE, que fue inicialmente revelado en septiembre del 2019. Este ciberataque se enfoca en entidades financieras e investigadoras en la India, utilizando herramientas de credential harvesting y transferencia de archivos para expandir su presencia dentro de redes corporativas.

Contexto

El grupo WASSONITE, vinculado a Corea del Norte, ha sido identificado como un actor APT (Advanced Persistent Threat) con operaciones en múltiples sectores. DTrack fue primero detectado en 2019 y está conectado a una familia de malware anterior, ATMDTrack, que se utilizó para robar dinero de cajeros automáticos.

Las técnicas empleadas por WASSONITE incluyen la extracción de credenciales mediante herramientas como Mimikatz y el uso de herramientas sistemas para moverse horizontalmente dentro de entornos corporativos. Estas prácticas son características de ataques a gran escala, orientados a obtener acceso prolongado a redes objetivo.

Análisis

DTrack actúa como un módulo de remote access para controlar dispositivos infectados. Su diseño permite la transferencia de archivos y el movimiento lateral dentro de sistemas empresariales, lo que facilita la explotación de vulnerabilidades en infraestructuras críticas.

El malware está relacionado con ATMDTrack, lo cual sugiere una evolución tecnológica o un reutilización de componentes para objetivos específicos. Este enlace indica que WASSONITE utiliza estrategias probadas, adaptando herramientas anteriores a nuevas víctimas.

Conclusion

El grupo WASSONITE representa una amenaza significativa debido a su capacidad de operar con ciberataques a gran escala. La utilización de DTrack y técnicas de remote access demuestra un enfoque estratégico para penetrar sistemas críticos, especialmente en sectores financieros. Las organizaciones deben implementar controles de seguridad robustos para mitigar riesgos asociados a amenazas de este tipo.

Tipo Valor Contexto
No hay Indicadores de Compromiso publicos disponibles.

Diamond Model

Adversary
north-korea
Ver perfil →
Victim
WASSONITE operations rely on deploying DTrack malware for remote access to victim machines
India
Capability
Reference
Infrastructure
Sin infraestructura confirmada

Relations

Mapa de nodos relacionados por IOCs compartidos, actor, enlaces IntelTracker/OSINT, campanas y victimas observadas. Haz click en un nodo para abrir el post, filtro o fuente.

16 enlaces
Tipo (1)
Valor 281 posts
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
www.mcafee.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
securelist.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
IntelTracker / OSINT link
duckduckgo.com
north-korea
enlace asociado al actor
Nodo actual
WASSONITE operations rely on deploying DTrack malware for remote access to victim machines
north-korea · India
Victima
Infrastructure: C2 often based on compromised servers
Valor
IOC compartido
Victima
Persistency: tipically launching ransomware after operation to destroy evidences,Threat Recon.nshc.net alias=SectorA01,http://www.mcafee.com/us/resources/white-papers/wp-dissecting-operation-troy.pdf,http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return/,https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf,https://www.alienvault.com/open-threat-exchange/blog/operation-blockbuster-unveils-the-actors-behind-the-sony-attacks,https://www.us-cert.gov/ncas/alerts/TA17-164A,http://www.fsec.or.kr/common/proc/fsec/bbs/21/fileDownLoad/1235.do,https://researchcenter.paloaltonetworks.com/2017/08/unit42-blockbuster-saga-continues/,https://www.crowdstrike.com/blog/unprecedented-announcement-fbi-implicates-north-korea-destructive-attacks/,https://www.us-cert.gov/ncas/alerts/TA17-318A,https://www.us-cert.gov/ncas/alerts/TA17-318B,https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf,https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/,https://www.darkreading.com/vulnerabilities---threats/lazarus-group-fancy-bear-most-active-threat-groups-in-2017/d/d-id/1330954?print=yes,https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity, https://securelist.com/operation-applejeus/87553/,https://blogs.microsoft.com/on-the-issues/2017/12/19/microsoft-facebook-disrupt-zinc-malware-attack-protect-customers-internet-ongoing-cyberthreats/,https://www.secureworks.com/about/press/media-alert-secureworks-discovers-north-korean-cyber-threat-group-lazarus-spearphishing,https://threatrecon.nshc.net/2019/01/23/sectora01-custom-proxy-utility-tool-analysis/,https://objective-see.com/blog/blog_0x49.html,https://www.sentinelone.com/blog/lazarus-apt-targets-mac-users-poisoned-word-document/,https://blog.alyac.co.kr/2827,https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/,https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/,https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/,https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/,https://www.clearskysec.com/operation-dream-job/,https://blogs.jpcert.or.jp/en/2020/08/Lazarus-malware.html,https://medium.com/s2wlab/analysis-of-threatneedle-c-c-communication-feat-google-tag-warning-to-researchers-782aa51cf74,https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/,https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/,https://www.hvs-consulting.de/lazarus-report/,https://blog.chainalysis.com/reports/lazarus-group-kucoin-exchange-hack,https://securelist.com/lazarus-threatneedle/100803/,https://www.clearskysec.com/wp-content/uploads/2021/05/CryptoCore-Lazarus-Clearsky.pdf,https://blog.alyac.co.kr/3814,https://www.cisa.gov/uscert/ncas/alerts/aa22-108a,https://www.sentinelone.com/blog/lazarus-operation-interception-targets-macos-users-dreaming-of-jobs-in-crypto/,https://www.microsoft.com/security/blog/2022/09/29/zinc-weaponizing-open-source-software/,https://securelist.com/dtrack-targeting-europe-latin-america/107798/,https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/,https://www.microsoft.com/en-us/security/blog/2022/12/06/dev-0139-launches-targeted-attacks-against-the-cryptocurrency-industry/,https://labs.withsecure.com/content/dam/labs/docs/WithSecure-Lazarus-No-Pineapple-Threat-Intelligence-Report-2023.pdf,https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/,https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/,https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/
Valor
IOC compartido
Victima
APT37
Valor
IOC compartido
Victima
(금성121),THALLIUM,,,,,G0067,Reaper,Erebus,Golden Time,Evil New Year,Are you Happy?,FreeMilk,North Korean Human Rights,Evil New Year 2018,Operation Earth Kitsune,KARAE
Valor
IOC compartido
Victima
TEMP.Hermit
Valor
IOC compartido
Victima
OnionDog
Valor
IOC compartido
Victima
Stardust Chollima
Valor
IOC compartido
Victima
(Proofpoint),COPERNICIUM
Valor
IOC compartido

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor north-korea en el blog → Ver north-korea en IntelTracker → Buscar north-korea en APTTrail → Repositorio APTTrail → Mas incidentes en India → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

JCPenney20 Jun 2026 · breach Comment Crew20 Jun 2026 · china APT220 Jun 2026 · china UPS20 Jun 2026 · china IXESHE20 Jun 2026 · china APT1620 Jun 2026 · china Hidden Lynx20 Jun 2026 · china Wekby20 Jun 2026 · china