25 de julio de 2024Sala de prensaMalware / Ciberespionaje Un actor de amenazas vinculado a Corea del Norte conocido por sus operaciones de ciberespionaje se ha expandido gradualmente hacia ataques con motivaciones financieras que involucran el despliegue de ransomware, lo que lo distingue de otros grupos de piratería de estados nacionales vinculados al país. Mandiant, propiedad de Google, está rastreando el grupo de actividades bajo un nuevo apodo, APT45, que se superpone con nombres como Andariel, Nickel Hyatt, Onyx Sleet, Stonefly y Silent Chollima. «APT45 es un operador cibernético norcoreano de larga trayectoria y moderadamente sofisticado que ha llevado a cabo campañas de espionaje desde 2009», dijeron los investigadores Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan y Michael Barnhart. «APT45 ha sido el que se ha observado con mayor frecuencia apuntando a infraestructura crítica». Cabe mencionar que APT45, junto con APT38 (también conocido como BlueNoroff), APT43 (también conocido como Kimsuky) y Lazarus Group (también conocido como TEMP.Hermit), son elementos de la Oficina General de Reconocimiento (RGB) de Corea del Norte, la principal organización de inteligencia militar del país. APT45 está vinculado en particular al despliegue de familias de ransomware rastreadas como SHATTEREDGLASS y Maui dirigidas a entidades en Corea del Sur, Japón y Estados Unidos en 2021 y 2022. Los detalles de SHATTEREDGLASS fueron documentados por Kaspersky en junio de 2021. «Es posible que APT45 esté llevando a cabo delitos cibernéticos con motivaciones económicas no solo en apoyo de sus propias operaciones, sino también para generar fondos para otras prioridades estatales de Corea del Norte», dijo Mandiant. Otro malware notable en su arsenal es una puerta trasera denominada Dtrack (también conocida como Valefor y Preft), que se utilizó por primera vez en un ciberataque dirigido a la planta de energía nuclear de Kudankulam en la India en 2019, lo que marca uno de los pocos casos conocidos públicamente de actores norcoreanos que atacan infraestructura crítica. «APT45 es uno de los operadores cibernéticos más antiguos de Corea del Norte, y la actividad del grupo refleja las prioridades geopolíticas del régimen, incluso cuando las operaciones han pasado del ciberespionaje clásico contra entidades gubernamentales y de defensa a incluir la atención médica y la ciencia de los cultivos», dijo Mandiant. «Como el país se ha vuelto dependiente de sus operaciones cibernéticas como un instrumento de poder nacional, las operaciones llevadas a cabo por APT45 y otros operadores cibernéticos norcoreanos pueden reflejar las prioridades cambiantes del liderazgo del país». Los hallazgos se producen cuando la empresa de capacitación en concienciación sobre seguridad KnowBe4 dijo que fue engañada para contratar a un trabajador de TI de Corea del Norte como ingeniero de software, que utilizó una identidad robada de un ciudadano estadounidense y mejoró su imagen utilizando inteligencia artificial (IA). «Se trataba de un hábil trabajador de TI norcoreano, apoyado por una infraestructura criminal respaldada por el Estado, que utilizó la identidad robada de un ciudadano estadounidense que participó en varias rondas de entrevistas en vídeo y eludió los procesos de verificación de antecedentes que suelen utilizar las empresas», afirmó la empresa. El ejército de trabajadores de TI, que se considera parte del Departamento de Industria de Municiones del Partido de los Trabajadores de Corea, tiene antecedentes de buscar empleo en empresas con sede en Estados Unidos fingiendo estar ubicados en el país cuando en realidad están en China y Rusia e iniciando sesión de forma remota a través de ordenadores portátiles proporcionados por la empresa y entregados a una «granja de portátiles». KnowBe4 dijo que detectó actividades sospechosas en la estación de trabajo Mac enviada al individuo el 15 de julio de 2024 a las 21:55 EST que consistían en manipular archivos del historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software dañino. El malware se descargó utilizando una Raspberry Pi. Veinticinco minutos después, la empresa de ciberseguridad con sede en Florida dijo que contenía el dispositivo del empleado. No hay pruebas de que el atacante haya obtenido acceso no autorizado a datos o sistemas sensibles. «La estafa consiste en que ellos realmente están haciendo el trabajo, cobrando bien y dando una gran cantidad de dinero a Corea del Norte para financiar sus programas ilegales», dijo el director ejecutivo de KnowBe4, Stu Sjouwerman. «Este caso pone de relieve la necesidad crítica de contar con procesos de investigación más sólidos, una supervisión de seguridad continua y una mejor coordinación entre los equipos de RR. HH., TI y seguridad para protegerse contra amenazas persistentes avanzadas». ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
