Se ha atribuido a un grupo de estado-nación de Corea del Norte conocido por criptoatracos una nueva ola de ataques de correo electrónico maliciosos como parte de una actividad de recolección de credenciales «en expansión» dirigida a una serie de sectores verticales de la industria, lo que marca un cambio significativo en su estrategia.
Proofpoint está rastreando al actor de amenazas alineado con el estado bajo el nombre TA444y por la comunidad de seguridad cibernética más grande como APT38, BlueNoroff, Copernicium y Stardust Chollima.
TA444 está «utilizando una variedad más amplia de métodos de entrega y cargas útiles junto con señuelos relacionados con blockchain, oportunidades de trabajo falsas en empresas prestigiosas y ajustes salariales para atrapar a las víctimas», la empresa de seguridad empresarial dicho en un informe compartido con The Hacker News.
La amenaza persistente avanzada es una especie de aberración entre los grupos patrocinados por el estado en el sentido de que sus operaciones están motivadas financieramente y orientadas a generar ingresos ilícitos para el Reino Ermitaño.
Con ese fin, los ataques emplean correos electrónicos de phishinggeneralmente adaptados a los intereses de la víctima, que están cargados de archivos adjuntos con malware, como archivos LNK e imágenes de disco óptico ISO para desencadenar la cadena de infección.
Entre otras tácticas, se incluye el uso de cuentas de LinkedIn comprometidas que pertenecen a ejecutivos legítimos de la empresa para acercarse y comprometerse con los objetivos antes de entregar enlaces con trampas explosivas.
Sin embargo, campañas más recientes a principios de diciembre de 2022 han sido testigos de una «desviación significativa», en la que los mensajes de phishing incitaron a los destinatarios a hacer clic en una URL que redirigía a una página de recolección de credenciales.
La explosión de correos electrónicos apuntó a varias verticales además del sector financiero, incluida la educación, el gobierno y la atención médica, en los EE. UU. y Canadá.
Dejando a un lado la experimentación, también se ha observado que TA444 expande la funcionalidad de CageyChameleon (también conocido como CabbageRAT) para ayudar aún más en la creación de perfiles de víctimas, al tiempo que mantiene una amplia arsenal de herramientas post-explotación para facilitar el robo.
«En 2022, TA444 se enfocó en las criptomonedas a un nuevo nivel y comenzó a imitar el ecosistema del crimen cibernético al probar una variedad de cadenas de infección para ayudar a expandir sus flujos de ingresos», dijo Proofpoint.
Los hallazgos se producen cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. Acusó a los actores de BlueNoroff de llevar a cabo el robo de USD 100 millones en criptomonedas robadas del puente Harmony Horizon en junio de 2022.
«Con una mentalidad de startup y una pasión por las criptomonedas, TA444 encabeza la generación de flujo de efectivo de Corea del Norte para el régimen al traer fondos lavables», dijo Greg Lesnewich de Proofpoint. «Este actor de amenazas idea rápidamente nuevos métodos de ataque mientras adopta las redes sociales como parte de su [modus operandi].»
El grupo «sigue comprometido en sus esfuerzos por utilizar la criptomoneda como vehículo para proporcionar fondos utilizables al régimen», agregó la compañía.