Los investigadores cibernéticos de Mandiant, de Google Cloud, han elevado a categoría de grupo oficial de amenaza persistente avanzada (APT) a un nexo de amenaza cibernética norcoreano que se ha rastreado durante años como Andariel, también conocido como Onyx Sleet, Plutonium y Silent Chollima, y ​​han advertido de que está apuntando a secretos y tecnología atómica celosamente guardados, mientras Corea del Norte continúa sus esfuerzos por adquirir armas nucleares. El APT45, que opera desde 2009 y posiblemente tiene vínculos con la operación de piratería Lazarus de alguna forma, se describe como moderadamente sofisticado en su alcance y tecnología. Es probable que esté controlado por la Tercera Oficina de la Oficina General de Reconocimiento (RGB) de Corea del Norte y comenzó su trabajo como un operador con motivaciones financieras (como muchos grupos norcoreanos, un objetivo principal es robar capital para financiar el régimen enfermo y aislado), y su presunto desarrollo y uso de ransomware lo distingue de los demás. Mandiant citó evidencia del uso de las cepas de ransomware Maui y Shatteredglass por parte de los grupos APT45, aunque no ha podido demostrar definitivamente este punto. Lo que se sabe con cierta certeza es que, más recientemente, la atención de APT45 se ha centrado en otros campos, como la ciencia de los cultivos, la atención sanitaria y los productos farmacéuticos, y últimamente ha dedicado gran parte de su tiempo a cuestiones militares, dijo Mandiant. “Muchos avances en las capacidades militares de Corea del Norte en los últimos años pueden atribuirse directamente a los exitosos esfuerzos de espionaje de APT45 contra gobiernos y organizaciones de defensa de todo el mundo”, dijo el analista principal de Mandiant, Michael Barnhart. “Cuando Kim Jong Un exige mejores misiles, estos son los tipos que le roban los planos”. En sus actividades, APT45 favorece una mezcla de herramientas de piratería disponibles públicamente y cepas de malware modificadas y personalizadas. Su biblioteca de herramientas parece algo distinta de otras APT norcoreanas, sin embargo, su malware presenta algunas características compartidas, incluida la reutilización de código, la codificación personalizada única y las contraseñas. Operación del FBI En las últimas semanas, Mandiant ha estado «activamente involucrado» en un esfuerzo concertado, trabajando junto con el FBI y otras agencias estadounidenses, para rastrear los esfuerzos de APT45 para adquirir inteligencia de defensa e investigación de los EE. UU. y otros países, incluidos el Reino Unido, Francia, Alemania y Corea del Sur, así como Brasil, India y Nigeria. En sus misiones, se cree que APT45 ha apuntado a tanques pesados ​​​​y ligeros; obuses autopropulsados; vehículos ligeros de ataque y suministro de munición; buques de combate litorales y naves de combate; submarinos; torpedos y vehículos submarinos no tripulados y autónomos; tecnología de modelado y simulación; aviones de combate y drones; misiles y sistemas de defensa contra misiles; satélites, comunicaciones por satélite y tecnología relacionada; sistemas de vigilancia y radar de matriz en fase; y fabricación, incluyendo construcción naval, robótica, impresión 3D, fundición, fabricación, moldeado de metal, plásticos y caucho, y procesos de mecanizado. Más preocupante aún, el grupo también ha estado observando apuntando al enriquecimiento y procesamiento de uranio, desechos y almacenamiento, plantas de energía nuclear e instalaciones e investigación. “APT45 no está sujeto a consideraciones éticas y ha demostrado que está dispuesto y es lo suficientemente ágil como para apuntar a cualquier entidad para lograr sus objetivos, incluidos los hospitales”, dijo Barnhart. “Es necesario un esfuerzo global coordinado que involucre a los sectores público y privado para contrarrestar esta amenaza persistente y en evolución”. NCSC emite advertencia Mientras tanto, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), junto con agencias aliadas de todo el mundo, incluidos los EE. UU. Y Corea del Sur, emitió su propia alerta sobre la actividad de APT45. Dijo que la inteligencia sugería que APT45 representa una “amenaza continua” para las organizaciones de infraestructura crítica a nivel mundial. “La operación global de ciberespionaje que hemos expuesto hoy muestra hasta dónde están dispuestos a llegar los actores patrocinados por el estado de la RPDC para llevar a cabo sus programas militares y nucleares”, dijo el director de operaciones del NCSC, Paul Chichester. “Debería recordar a los operadores de infraestructura crítica la importancia de proteger la información sensible y la propiedad intelectual que tienen en sus sistemas para evitar el robo y el mal uso. El NCSC, junto con nuestros socios estadounidenses y coreanos, alienta firmemente a los defensores de la red a seguir las pautas establecidas en este aviso para asegurarse de que cuentan con fuertes protecciones para prevenir esta actividad maliciosa”. El aviso completo, incluidos los indicadores de compromiso (IOC), se puede leer aquí. Este artículo se actualizó a las 16:40 del jueves 25 de julio para incorporar el aviso del NCSC.