Un nuevo operador cibernético del estado-nación de Corea del Norte se ha atribuido a una serie de campañas orquestadas para recopilar inteligencia estratégica que se alinee con los intereses geopolíticos de Pyongyang desde 2018.
Mandiant, propiedad de Google, que está rastreando el grupo de actividad bajo el nombre APT43dijo que los motivos del grupo son tanto el espionaje como los financieros, aprovechando técnicas como la recolección de credenciales y la ingeniería social para promover sus objetivos.
El ángulo monetario de sus campañas de ataque es un intento por parte del actor de amenazas de generar fondos para cumplir con su «misión principal de recopilar inteligencia estratégica».
Los patrones de victimología sugieren que la orientación se centra en Corea del Sur, EE. UU., Japón y Europa, y abarca los sectores de gobierno, educación, investigación, institutos de políticas, servicios comerciales y manufactura.
También se observó que el actor de amenazas se desvió del rumbo al atacar verticales relacionadas con la salud y compañías farmacéuticas desde octubre de 2020 hasta octubre de 2021, lo que subraya su capacidad para cambiar rápidamente las prioridades.
«APT43 es un prolífico operador cibernético que apoya los intereses del régimen norcoreano», investigadores de Mandiant dicho en un informe técnico detallado publicado el martes.
«El grupo combina capacidades técnicas moderadamente sofisticadas con tácticas agresivas de ingeniería social, especialmente contra organizaciones gubernamentales, académicos y grupos de expertos de Corea del Sur y con sede en Estados Unidos centrados en cuestiones geopolíticas de la península de Corea».
Se dice que las actividades de APT43 se alinean con la Oficina General de Reconocimiento (RGB), la agencia de inteligencia exterior de Corea del Norte, lo que indica superposiciones tácticas con otro grupo de piratería denominado Kimsuky (también conocido como Black Banshee, Thallium o Velvet Chollima).
Además, se ha observado el uso de herramientas previamente asociadas con otros sindicatos adversarios subordinados dentro de RGB, como el Grupo Lazarus (también conocido como TEMP.Hermit).
Las cadenas de ataque montadas por APT43 involucran correos electrónicos de phishing selectivo que contienen señuelos personalizados para atraer a las víctimas. Estos mensajes se envían utilizando personas falsificadas y fraudulentas que se hacen pasar por personas clave dentro del área de especialización del objetivo para ganarse su confianza.
También se sabe que aprovecha las listas de contactos robadas de personas comprometidas para identificar más objetivos y robar criptomonedas para financiar su infraestructura de ataque. Los activos digitales robados luego se lavan utilizando alquiler de hachís y servicios de minería en la nube para ocultar el rastro forense y convertirlos en criptomonedas limpias.
El objetivo final de los ataques es facilitar las campañas de recopilación de credenciales a través de dominios que imitan una amplia gama de servicios legítimos y utilizan los datos recopilados para crear personas en línea.
“El predominio de la actividad motivada financieramente entre los grupos norcoreanos, incluso entre aquellos que históricamente se han centrado en el espionaje cibernético, sugiere un mandato generalizado de autofinanciamiento y una expectativa de mantenerse sin recursos adicionales”, dijo Mandiant.
Las operaciones de APT43 se actualizan a través de un gran arsenal de malware personalizado y disponible públicamente, como LATEOP (también conocido como BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey y una versión de Android de un descargador basado en Windows llamado PENCILDOWN.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Los hallazgos se producen menos de una semana después de que las agencias gubernamentales de Alemania y Corea del Sur advirtieran sobre los ataques cibernéticos montados por Kimsuky utilizando extensiones de navegador no autorizadas para robar las bandejas de entrada de Gmail de los usuarios.
«APT43 responde muy bien a las demandas del liderazgo de Pyongyang», dijo la firma de inteligencia de amenazas, y señaló que el grupo «mantiene un alto ritmo de actividad».
«Aunque el spear-phishing y la recolección de credenciales contra organizaciones gubernamentales, militares y diplomáticas han sido tareas centrales para el grupo, APT43 finalmente modifica sus objetivos y tácticas, técnicas y procedimientos para adaptarse a sus patrocinadores, incluida la realización de delitos cibernéticos motivados financieramente según sea necesario para apoyar al régimen».