Worok: grupo de ciberespionaje que ataca a empresas y gobiernos









¿Has oído hablar del grupo Workok? Investigadores de ESET, una empresa europea de ciberseguridad, han descubierto una serie de ciberataques utilizando herramientas nunca antes documentadas contra varias empresas de alto perfil y gobiernos locales.

Estos ataques fueron lanzados por un grupo de ciberespionaje previamente desconocido que ESET llamó Worok.

Workok: Ataques grupales realizados en múltiples países

Según la telemetría de ESET, el grupo ha estado activo desde al menos 2020 y permanece activo hasta el día de hoy. Entre los objetivos se encuentran empresas de telecomunicaciones, bancarias, navales, energéticas, militares, gubernamentales y del sector público.

En algunos casos, los ciberdelincuentes han utilizado las vulnerabilidades de ProxyShell (una serie de vulnerabilidades en los servidores de Exchange que ya han sido reparadas por Microsoft pero que continúan siendo explotadas en la actualidad) para obtener acceso inicial a los sistemas.

A fines de 2020, el grupo de Trabajo se dirigía a gobiernos y empresas en varios países, entre ellos:





  • Una empresa de telecomunicaciones en el este de Asia
  • Un banco en Asia Central
  • Una empresa en la industria del transporte marítimo en el sudeste asiático
  • Una entidad gubernamental en el Medio Oriente
  • Una gran empresa privada en el sur de África

Hubo una caída significativa en las operaciones del grupo entre mayo de 2021 y enero de 2022, pero la actividad se reanudó en febrero de 2022, afectando:

  • Una empresa de energía en Asia Central
  • Una entidad del sector público en el sudeste asiático

Worok es un grupo de ciberespionaje que desarrolla sus propias herramientas y aprovecha las herramientas existentes para comprometer sus objetivos. El conjunto de herramientas del grupo incluye dos cargadores, CLRLoad y PNGLoad, y una puerta trasera, PowHeartBeat.

CLRLoad se usó en 2021, pero en 2022 fue reemplazado, en la mayoría de los casos, por PowHeartBeat. En ambos años, se utilizó PNGLoad para reconstruir payloads maliciosos ocultos en imágenes PNG. Tenga en cuenta que los cargadores son componentes de software legítimos que cargan programas y bibliotecas, pero en este caso se usaron para cargar malware.

Ana Gomez

Ana Gómez. Nació en Asturias pero vive en Madrid desde hace ya varios años. Me gusta de todo lo relacionado con los negocios, la empresa y los especialmente los deportes, estando especializada en deporte femenino y polideportivo. También me considero una Geek, amante de la tecnología los gadgets. Ana es la reportera encargada de cubrir competiciones deportivas de distinta naturaleza puesto que se trata de una editora con gran experiencia tanto en medios deportivos como en diarios generalistas online. Mi Perfil en Facebookhttps://www.facebook.com/ana.gomez.029   Email de contacto: ana.gomez@noticiasrtv.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *