Organizaciones de medios y expertos de alto perfil en asuntos de Corea del Norte han sido los destinatarios de una nueva campaña orquestada por un actor de amenazas conocido como ScarCruft en diciembre de 2023.
«ScarCruft ha estado experimentando con nuevas cadenas de infección, incluido el uso de un informe técnico de investigación de amenazas como señuelo, probablemente dirigido a consumidores de inteligencia de amenazas, como profesionales de la ciberseguridad», dijeron los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. dicho en un informe compartido con The Hacker News.
Se considera que el adversario vinculado a Corea del Norte, también conocido con el nombre de APT37, InkySquid, RedEyes, Ricochet Chollima y Ruby Sleet, forma parte del Ministerio de Seguridad del Estado (MSS), lo que lo distingue del Grupo Lazarus y Kimsuky, que son elementos dentro de la Oficina General de Reconocimiento (RGB).
el grupo es conocido por apuntar a gobiernos y desertores, aprovechando señuelos de phishing para entregar RokRAT y otras puertas traseras con el objetivo final de recopilación de inteligencia encubierta en pos de los intereses estratégicos de Corea del Norte.
En agosto de 2023, ScarCruft fue vinculado a un ataque a la empresa rusa de ingeniería de misiles NPO Mashinostroyeniya junto con Lazarus Group en lo que se consideró una «misión de espionaje estratégico altamente deseable» diseñada para beneficiar su controvertido programa de misiles.
A principios de esta semana, los medios estatales de Corea del Norte reportado que el país había llevado a cabo una prueba de su «sistema de armas nucleares submarinas» en respuesta a los simulacros de Estados Unidos, Corea del Sur y Japón, describiendo los ejercicios como una amenaza a su seguridad nacional.
La última cadena de ataques observada por SentinelOne tuvo como objetivo a un experto en asuntos de Corea del Norte haciéndose pasar por miembro del Instituto de Investigación de Corea del Norte e instando al destinatario a abrir un archivo ZIP que contenía materiales de presentación.
Si bien siete de los nueve archivos del archivo son benignos, dos de ellos son archivos maliciosos de acceso directo de Windows (LNK), que reflejan una secuencia de infección de varias etapas revelada previamente por Check Point en mayo de 2023 para distribuir la puerta trasera RokRAT.
Hay evidencia que sugiere que algunas de las personas que fueron atacadas alrededor del 13 de diciembre de 2023 también fueron señaladas previamente un mes antes, el 16 de noviembre de 2023.
SentinelOne dijo que su investigación también descubrió malware (dos archivos LNK («inteligence.lnk» y «news.lnk»), así como variantes de shellcode que entregan RokRAT, que se dice que son parte de los procesos de planificación y prueba del actor de amenazas.
Mientras que el archivo de acceso directo anterior simplemente abre la aplicación legítima de Bloc de notas, el código shell ejecutado a través de news.lnk allana el camino para la implementación de RokRAT, aunque este procedimiento de infección aún no se ha observado en la naturaleza, lo que indica su probable uso para futuras campañas.
El desarrollo es una señal de que el grupo de hackers del estado-nación está modificando activamente su modus operandi, probablemente en un esfuerzo por eludir la detección en respuesta a la divulgación pública de sus tácticas y técnicas.
«ScarCruft sigue comprometido con la adquisición de inteligencia estratégica y posiblemente tenga la intención de obtener información sobre estrategias de defensa e inteligencia de amenazas cibernéticas privadas», dijeron los investigadores.
«Esto permite al adversario obtener una mejor comprensión de cómo la comunidad internacional percibe los acontecimientos en Corea del Norte, contribuyendo así a los procesos de toma de decisiones de Corea del Norte».