Un actor de amenazas respaldado por el estado con vínculos con la República Popular Democrática de Corea (DRPK) ha sido atribuido a una campaña de phishing dirigido a periodistas que cubren el país con el objetivo final de implementar una puerta trasera en los sistemas Windows infectados.
Las intrusiones, que se dice que son obra de Ricochet Chollima, dieron como resultado el despliegue de una nueva cepa de malware llamada GOLDBACKDOOR, un artefacto que comparte superposiciones técnicas con otro malware llamado BLUELIGHT, que anteriormente se había vinculado al grupo.
“Los periodistas son objetivos de alto valor para los gobiernos hostiles”, firma de ciberseguridad Stairwell dicho en un informe publicado la semana pasada. “Comprometer a un periodista puede brindar acceso a información altamente confidencial y permitir ataques adicionales contra sus fuentes”.
Ricochet Chollima, también conocido como APT37InkySquid y ScarCruft, es un adversario de intrusión dirigido al nexo de Corea del Norte que ha estado involucrado en ataques de espionaje desde al menos 2016. El actor de amenazas tiene un historial de atacar a la República de Corea con un enfoque notable en funcionarios gubernamentales, no miembros. organizaciones gubernamentales, académicos, periodistas y desertores norcoreanos.
En noviembre de 2021, Kaspersky descubrió evidencia de que el equipo de piratería entregó un implante previamente no documentado llamado Chinotto como parte de una nueva ola de ataques de vigilancia altamente dirigidos, mientras que otras operaciones anteriores utilizaron una herramienta de acceso remoto llamada BLUELIGHT.
La investigación de Stairwell sobre la campaña se produce semanas después de NK News revelado que los mensajes de señuelo se enviaron desde una dirección de correo electrónico personal perteneciente a un exfuncionario de inteligencia de Corea del Sur, lo que finalmente condujo al despliegue de la puerta trasera en un proceso de infección de varias etapas para evadir la detección.
Se descubrió que los mensajes de correo electrónico contenían un enlace para descargar un archivo ZIP desde un servidor remoto diseñado para hacerse pasar por el portal de noticias centrado en Corea del Norte. Incrustado dentro del archivo hay un archivo de acceso directo de Windows que actúa como un punto de partida para ejecutar el script de PowerShell, que abre un documento de señuelo mientras instala simultáneamente la puerta trasera GOLDBACKDOOR.
El implante, por su parte, está diseñado como un archivo ejecutable portátil que es capaz de recuperar comandos de un servidor remoto, cargar y descargar archivos, grabar archivos y desinstalarse de forma remota de las máquinas comprometidas.
“Durante los últimos 10 años, la República Popular Democrática de Corea, la RPDC, ha adoptado las operaciones cibernéticas como un medio clave para apoyar al régimen”, dijo Silas Cutler de Stairwell.
“Si bien se ha prestado mucha atención al supuesto uso de estas operaciones como un medio para financiar los programas militares de la RPDC, es probable que los ataques contra investigadores, disidentes y periodistas sigan siendo un área clave para apoyar las operaciones de inteligencia del país”.
About the Author
