Las agencias de inteligencia de EE. UU. y Corea del Sur emitieron una nueva alerta sobre el uso de tácticas de ingeniería social por parte de los actores cibernéticos de Corea del Norte para atacar a los grupos de expertos, la academia y los medios de comunicación.
Los «esfuerzos sostenidos de recopilación de información» se han atribuido a un grupo patrocinado por el estado denominado kimsukyque también se conoce con los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima.
«Corea del Norte depende en gran medida de la inteligencia obtenida de estas campañas de phishing», dijeron las agencias. dicho. «Los compromisos exitosos de las personas objetivo permiten a los actores de Kimsuky crear correos electrónicos de phishing más creíbles y efectivos que pueden aprovecharse contra objetivos sensibles y de alto valor».
Kimsuky se refiere a un elemento auxiliar dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte y se sabe que recopila inteligencia táctica sobre eventos geopolíticos y negociaciones que afectan los intereses del régimen. Se sabe que está activo desde al menos 2012.
“Estos actores cibernéticos se hacen pasar estratégicamente por fuentes legítimas para recopilar información sobre eventos geopolíticos, estrategias de política exterior y desarrollos de seguridad de interés para la RPDC en la península de Corea”, dijo Rob Joyce, director de Ciberseguridad de la NSA.
Esto incluye a periodistas, académicos, investigadores de grupos de expertos y funcionarios gubernamentales, y la artimaña está diseñada principalmente para señalar a las personas que trabajan en asuntos de Corea del Norte, como política exterior y expertos políticos.
El objetivo de los programas cibernéticos de Kimsuky, dijeron los funcionarios, es obtener acceso ilícito y proporcionar información geopolítica valiosa y datos robados al gobierno de Corea del Norte.
Se ha observado que Kimsuky aprovecha la información de código abierto para identificar posibles objetivos de interés y, posteriormente, diseñar sus personas en línea para que parezcan más legítimas mediante la creación de direcciones de correo electrónico que se asemejan a las direcciones de correo electrónico de las personas reales que buscan suplantar.
La adopción de identidades falsificadas es una táctica adoptada por otros grupos patrocinados por el estado y se considera una estratagema para ganarse la confianza y establecer una relación con las víctimas. También se sabe que el adversario compromete las cuentas de correo electrónico de las personas suplantadas para inventar mensajes de correo electrónico convincentes.
«RPDC [Democratic People’s Republic of Korea] los actores a menudo usan dominios que se asemejan a servicios comunes de Internet y sitios de medios para engañar a un objetivo», según el aviso.
«Los actores de Kimsuky adaptan sus temas a los intereses de sus objetivos y actualizarán su contenido para reflejar los eventos actuales discutidos entre la comunidad de observadores de Corea del Norte».
Además de usar múltiples personas para comunicarse con un objetivo, las misivas electrónicas incluyen documentos maliciosos protegidos con contraseña, ya sea adjuntos directamente o alojados en Google Drive o Microsoft OneDrive.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Los archivos de señuelo, cuando se abren, instan a los destinatarios a habilitar macros, lo que da como resultado la provisión de acceso de puerta trasera a los dispositivos a través de malware como bebetiburon. Además, el acceso persistente está armado para reenviar automáticamente de forma sigilosa todos los correos electrónicos que llegan a la bandeja de entrada de la víctima a una cuenta de correo electrónico controlada por el actor.
Otro signo revelador es el uso de «versiones falsas pero realistas de sitios web, portales o aplicaciones móviles reales» para obtener las credenciales de inicio de sesión de las víctimas.
El desarrollo se produce semanas después de que la firma de ciberseguridad SentinelOne detallara el uso de herramientas personalizadas de Kimsuky como ReconShark (una versión mejorada de BabyShark) y RandomQuery para el reconocimiento y la exfiltración de información.
A principios de marzo, las autoridades gubernamentales de Alemania y Corea del Sur dieron la voz de alarma sobre los ataques cibernéticos montados por Kimsuky que implican el uso de extensiones de navegador no autorizadas para robar las bandejas de entrada de Gmail de los usuarios.
La alerta también sigue a las sanciones impuestas por el Departamento del Tesoro de EE. UU. contra cuatro entidades y un individuo que están involucrados en actividades cibernéticas maliciosas y esquemas de recaudación de fondos que tienen como objetivo apoyar las prioridades estratégicas de Corea del Norte.