Se ha observado que el grupo Stonefly, con sede en Corea del Norte, también conocido por alias como APT45 y Silent Chollima, continúa con sus ciberataques por motivos financieros contra organizaciones estadounidenses a pesar de una reciente acusación del Departamento de Justicia de Estados Unidos (DoJ). El grupo, vinculado a la Oficina General de Reconocimiento de Corea del Norte, ha cambiado su enfoque del espionaje a apuntar a empresas privadas en sectores con poco valor de inteligencia. El equipo Threat Hunter de Symantec descubrió evidencia de estos ataques, que descubrió el uso de sofisticadas herramientas de malware por parte de Stonefly durante intrusiones en tres organizaciones estadounidenses en agosto de 2024. “Los atacantes utilizaron un certificado falso de Tableau documentado por Microsoft, además de otros dos certificados […] que parecen ser exclusivos de esta campaña”, explicó Symantec. Una de las herramientas más notables implementadas fue Backdoor.Preft, una puerta trasera de varias etapas asociada exclusivamente con Stonefly, capaz de descargar archivos, ejecutar comandos e implementar complementos adicionales. También se identificó otro malware, incluido Nukebot y el marco de pruebas de penetración Sliver. Los investigadores observaron varias señales de que estos ataques tenían un objetivo financiero, más que para recopilar información de inteligencia estatal. Aunque no se implementó ningún ransomware con éxito, el reciente cambio del grupo hacia el uso de estas tácticas marca un cambio significativo en su estrategia operativa. Según Symantec, la dependencia de Stonefly de herramientas públicas como Mimikatz, Snap2HTML y Megatools ilustra una combinación calculada de software personalizado y de código abierto. Este enfoque permite al grupo mantener la flexibilidad mientras oscurece sus operaciones mediante el uso de tecnologías ampliamente disponibles. Lea más sobre Stonefly y los grupos APT asociados: Informe proporciona actualizaciones sobre el incidente de ransomware de Maui en julio En julio de 2024, las autoridades estadounidenses acusaron a un miembro de Stonefly por su papel en la extorsión a hospitales y otras instituciones. «Si bien el paso de Stonefly hacia ataques con motivación financiera es un desarrollo relativamente reciente, la atención se centró en las actividades del grupo debido a la acusación que nombra a uno de sus miembros aún no ha llevado a un cese de actividad», dijo Symantec. «Es probable que el grupo siga intentando organizar ataques de extorsión contra organizaciones en Estados Unidos».