Se ha observado que el Grupo Lazarus (también conocido como Hidden Cobra o TEMP.Hermit), vinculado a Corea del Norte, utiliza versiones troyanizadas de aplicaciones de Virtual Network Computing (VNC) como señuelo para atacar a la industria de defensa y a los ingenieros nucleares como parte de una campaña de larga duración conocida como Operación Trabajo de ensueño.
«El actor de amenazas engaña a los solicitantes de empleo en las redes sociales para que abran aplicaciones maliciosas para entrevistas de trabajo falsas», Kaspersky dicho en su informe de tendencias APT para el tercer trimestre de 2023.
«Para evitar la detección por parte de soluciones de seguridad basadas en el comportamiento, esta aplicación con puerta trasera funciona discretamente y sólo se activa cuando el usuario selecciona un servidor en el menú desplegable del cliente VNC troyanizado».
Una vez iniciada por la víctima, la aplicación falsificada está diseñada para recuperar cargas útiles adicionales, incluido un conocido malware del Grupo Lazarus denominado Cliente LPECque viene equipado con capacidades para perfilar hosts comprometidos.
El adversario también implementó una versión actualizada de COPPERHEDGE, una puerta trasera conocida por ejecutar comandos arbitrarios, realizar reconocimiento del sistema y extraer datos, así como un malware personalizado diseñado específicamente para transmitir archivos de interés a un servidor remoto.
Los objetivos de la última campaña incluyen empresas que participan directamente en la fabricación de defensa, incluidos sistemas de radar, vehículos aéreos no tripulados (UAV), vehículos militares, barcos, armamento y empresas marítimas.
La Operación Dream Job se refiere a una serie de ataques orquestados por el equipo de piratería norcoreano en los que se contacta a objetivos potenciales a través de cuentas sospechosas a través de varias plataformas como LinkedIn, Telegram y WhatsApp con el pretexto de ofrecer oportunidades laborales lucrativas para engañarlos para que instalen malware. .
A finales del mes pasado, ESET reveló detalles de un ataque del Grupo Lazarus dirigido a una empresa aeroespacial no identificada en España en el que el actor de amenazas se acercó a los empleados de la empresa haciéndose pasar por un reclutador de Meta en LinkedIn para entregarles un implante llamado LightlessCan.
Lazarus Group es sólo uno de los muchos programas ofensivos originados en Corea del Norte que se han relacionado con el ciberespionaje y los robos por motivos financieros.
Otro grupo de hackers destacado es APT37 (también conocido como ScarCruft), que forma parte del Ministerio de Seguridad del Estado, a diferencia de otros grupos de actividad de amenazas, es decir, APT43, Kimsuky y Lazarus Group (y sus subgrupos Andariel y BlueNoroff), que están afiliados. con la Oficina General de Reconocimiento (RGB).
«Mientras que diferentes grupos de amenazas comparten herramientas y códigos, la actividad de amenazas de Corea del Norte continúa adaptándose y cambiando para crear malware personalizado para diferentes plataformas, incluidas Linux y macOS», dijo Mandiant, propiedad de Google. revelado a principios de este mes, destacando su evolución en términos de adaptabilidad y complejidad.
ScarCruft, según Kaspersky, apuntó a una empresa comercial vinculada a Rusia y Corea del Norte utilizando una novedosa cadena de ataque de phishing que culminó con la entrega de malware RokRAT (también conocido como BlueLight), lo que subraya los intentos en curso del reino ermitaño de atacar a Rusia.
Es más, otro cambio notable es la superposición de infraestructura, herramientas y objetivos entre varios equipos de piratería norcoreanos como Andariel, APT38, Lazarus Group y APT43, lo que enturbia los esfuerzos de atribución y apunta a una racionalización de las actividades adversas.
Esto también ha ido acompañado de un «mayor interés en el desarrollo de malware macOS para plataformas de puerta trasera de objetivos de alto valor dentro de las industrias de criptomonedas y blockchain», dijo Mandiant.