Un actor de amenazas vinculado a Corea del Norte conocido por sus operaciones de espionaje cibernético se ha expandido gradualmente a ataques con motivaciones financieras que involucran el despliegue de ransomware, lo que lo distingue de otros grupos de piratería de estados nacionales vinculados al país.
Mandiant, propiedad de Google, está rastreando el grupo de actividad bajo un nuevo nombre APT45que se superpone con nombres como Andariel, Nickel Hyatt, Onyx Sleet, Stonefly y Silent Chollima.
“APT45 es un operador cibernético norcoreano de larga trayectoria y moderadamente sofisticado que ha llevado a cabo campañas de espionaje desde 2009”, afirman los investigadores Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan y Michael Barnhart. dicho“APT45 ha sido el ataque más frecuente contra infraestructuras críticas”.
Vale la pena mencionar que APT45, junto con APT38 (también conocido como BlueNoroff), APT43 (también conocido como Kimsuky) y Lazarus Group (también conocido como TEMP.Hermit), son elementos dentro de la Oficina General de Reconocimiento de Corea del Norte (RGB), la principal organización de inteligencia militar del país.
APT45 está vinculado en particular con la implementación de familias de ransomware identificadas como SHATTEREDGLASS y Maui, dirigidas a entidades en Corea del Sur, Japón y Estados Unidos en 2021 y 2022. Kaspersky documentó los detalles de SHATTEREDGLASS en junio de 2021.
“Es posible que APT45 esté llevando a cabo delitos cibernéticos con motivaciones financieras no sólo en apoyo de sus propias operaciones, sino también para generar fondos para otras prioridades estatales de Corea del Norte”, dijo Mandiant.
Otro malware notable en su arsenal es una puerta trasera denominada Dtrack (también conocida como Valefor y Preft), que se utilizó por primera vez en un ciberataque dirigido a la planta de energía nuclear de Kudankulam en India en 2019, lo que marca uno de los pocos casos públicamente conocidos de actores norcoreanos que atacaron infraestructura crítica.
“APT45 es uno de los operadores cibernéticos más antiguos de Corea del Norte, y la actividad del grupo refleja las prioridades geopolíticas del régimen, incluso cuando las operaciones han pasado del espionaje cibernético clásico contra entidades gubernamentales y de defensa a incluir la atención médica y la ciencia de los cultivos”, dijo Mandiant.
“Como el país se ha vuelto dependiente de sus operaciones cibernéticas como instrumento de poder nacional, las operaciones llevadas a cabo por APT45 y otros operadores cibernéticos norcoreanos pueden reflejar las prioridades cambiantes del liderazgo del país”.
Los hallazgos surgen cuando la empresa de capacitación en concientización sobre seguridad KnowBe4 dijo que fue engañada para contratar a un trabajador de TI de Corea del Norte como ingeniero de software, quien usó una identidad robada de un ciudadano estadounidense y mejoró su imagen usando inteligencia artificial (IA).
“Se trataba de un hábil trabajador de TI de Corea del Norte, apoyado por una infraestructura criminal respaldada por el Estado, que utilizó la identidad robada de un ciudadano estadounidense que participó en varias rondas de entrevistas en vídeo y eludió los procesos de verificación de antecedentes comúnmente utilizados por las empresas”, afirmó la empresa.
El ejército de trabajadores de TI, que se considera parte del Departamento de Industria de Municiones del Partido de los Trabajadores de Corea, tiene antecedentes de buscar empleo en empresas con sede en Estados Unidos fingiendo estar ubicados en el país cuando en realidad están en China y Rusia e ingresando de forma remota a través de computadoras portátiles proporcionadas por la empresa y entregadas a una “granja de computadoras portátiles”.
KnowBe4 afirmó haber detectado actividades sospechosas en la estación de trabajo Mac enviada al individuo el 15 de julio de 2024 a las 9:55 p. m. EST, que consistían en manipular archivos del historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software dañino. El malware se descargó mediante una Raspberry Pi.
Veinticinco minutos después, la empresa de ciberseguridad con sede en Florida dijo que tenía en su poder el dispositivo del empleado. sin evidencia que el atacante obtuvo acceso no autorizado a datos o sistemas confidenciales.
“La estafa es que realmente están haciendo el trabajo, recibiendo un buen pago y dando una gran cantidad a Corea del Norte para financiar sus programas ilegales”, dijo el director ejecutivo de KnowBe4, Stu Sjouwerman. dicho.
“Este caso resalta la necesidad crítica de contar con procesos de investigación más sólidos, monitoreo de seguridad continuo y una mejor coordinación entre los equipos de RR.HH., TI y seguridad para protegerse contra amenazas persistentes avanzadas”.