Un «grupo de actividad de estado-nación altamente operativo, destructivo y sofisticado» con vínculos con Corea del Norte ha estado utilizando software de código abierto como arma en sus campañas de ingeniería social dirigidas a empresas de todo el mundo desde junio de 2022.
Los equipos de inteligencia de amenazas de Microsoft, junto con LinkedIn Threat Prevention and Defense, atribuyeron las intrusiones con mucha confianza a Zincque también se rastrea bajo los nombres de Labyrinth Chollima.
Los ataques se dirigieron a empleados en organizaciones de múltiples industrias, incluidos los medios, la defensa y la industria aeroespacial y los servicios de TI en los EE. UU., el Reino Unido, la India y Rusia.
El gigante tecnológico dijo observó que Zinc aprovechaba una «amplia gama de software de código abierto, incluidos PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording para estos ataques».
De acuerdo a multitudhuelgaZinc «ha estado activo desde 2009 en operaciones destinadas a recopilar inteligencia política, militar y económica sobre los adversarios extranjeros de Corea del Norte y realizar campañas de generación de divisas».
Los últimos hallazgos coinciden con un informe reciente de Mandiant, propiedad de Google, que descubrió el uso de PuTTY por parte del adversario a través de señuelos de trabajo fraudulentos compartidos con objetivos potenciales en LinkedIn como parte de una campaña denominada Operation Dream Job.
Esto implica establecer conexiones iniciales con las personas haciéndose pasar por profesionales de reclutamiento como un ejercicio de generación de confianza, antes de pasar la conversación a WhatsApp, donde se comparte un documento de señuelo personalizado o un software aparentemente benigno, activando efectivamente la secuencia de infección.
Después de un compromiso exitoso, el actor de amenazas se mueve lateralmente a través de la red y extrae la información recopilada de interés mediante el despliegue de una puerta trasera llamada ZetaNile (también conocida como BLINDINGCAN O AIRDRY).
Pero en un intento por evadir las defensas de seguridad y evitar alertas, el implante se descarga solo cuando la víctima usa los clientes SSH para conectarse a una dirección IP particular a través de las credenciales especificadas en un archivo de texto separado.
Del mismo modo, los ataques que emplean la versión troyana de TightVNC Viewer están configurados para instalar la puerta trasera solo cuando el usuario selecciona un host remoto particular de las opciones proporcionadas.
“Los ataques de zinc parecen estar motivados por el ciberespionaje tradicional, el robo de datos personales y corporativos, las ganancias financieras y la destrucción de la red corporativa”, dijo la compañía.
«Los ataques de zinc tienen muchas características de actividades patrocinadas por el estado, como una mayor seguridad operativa, malware sofisticado que evoluciona con el tiempo y objetivos con motivaciones políticas».