El Departamento de Estado de Estados Unidos ha ofrecido una recompensa de 10 millones de dólares por información que pueda ayudarles a identificar o localizar a un destacado hacker norcoreano conocido como Rim Jong Hyok. Emitida el 25 de julio, la oferta se extiende a la información que conduzca a la identificación o localización de cualquier persona que haya participado en actividades cibernéticas maliciosas contra Estados Unidos mientras estaba bajo la dirección o control de un gobierno extranjero. Rim está asociado con el colectivo de amenazas patrocinado por el Estado APT45, también conocido como Andariel, Silent Chollima, Onyx Sleet o DarkSeoul, que está controlado por la agencia de inteligencia militar de la RPDC, el Reconnaissance General Bureau, según funcionarios estadounidenses. El anuncio afirma que Rim y sus asociados habían conspirado para comprometer los sistemas utilizados en hospitales estadounidenses y otros proveedores de atención médica, instalar el ransomware Maui en la red y extorsionar rescates. «El ransomware ataca las computadoras y servidores cifrados de las víctimas utilizados para pruebas médicas o registros médicos electrónicos e interrumpe los servicios de atención médica. «Estos actores cibernéticos maliciosos luego utilizaron los pagos del rescate para financiar operaciones cibernéticas maliciosas dirigidas a entidades del gobierno de los EE. UU. y contratistas de defensa estadounidenses y extranjeros, entre otros», dijo el Departamento de Estado de los EE. UU. La recompensa se anunció junto con una advertencia del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido que emitió una advertencia sobre el grupo junto con socios en los EE. UU. y la República de Corea. La advertencia afirmó que había expuesto una campaña global de espionaje cibernético llevada a cabo por APT45 para promover las ambiciones militares y nucleares de la RPDC. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Según el NCSC, APT45 se dirige principalmente a entidades de defensa, aeroespaciales, nucleares y de ingeniería, así como a organizaciones de los sectores médico y energético. La advertencia acompañó a un aviso que proporcionaba detalles técnicos sobre las técnicas, tácticas y procedimientos del grupo, así como consejos de mitigación para ayudar a defenderse de los avances del grupo. Paul Chichester, director de operaciones del NCSC, dijo que la operación criminal expuesta en el aviso ilustra hasta dónde están dispuestos a llegar los actores de amenazas respaldados por el estado de Corea del Norte para perseguir objetivos geopolíticos. «Debería recordar a los operadores de infraestructura crítica la importancia de proteger la información confidencial y la propiedad intelectual que tienen en sus sistemas para evitar el robo y el uso indebido», agregó. «El NCSC, junto con nuestros socios estadounidenses y coreanos, alienta encarecidamente a los defensores de la red a seguir las pautas establecidas en este aviso para asegurarse de que cuentan con fuertes protecciones para prevenir esta actividad maliciosa». «Uno de los operadores cibernéticos más antiguos de Corea del Norte», la transición de APT45 a atacar infraestructura críticaEl mismo día que el Departamento de Estado emitió su recompensa, el especialista en ciberseguridad Mandiant, propiedad de Google, publicó un informe que analizaba más de cerca la historia y el desarrollo del grupo APT45. El informe describe al grupo como un colectivo de amenazas norcoreano de larga data y moderadamente sofisticado que ha estado llevando a cabo ciberataques basados ​​​​en espionaje desde 2009. Mandiant señaló que el grupo ha hecho una transición lenta hacia una operación más motivada financieramente, afirmando que el cambio refleja las «prioridades cambiantes» de la RPDC. El informe indicó que su análisis mostró que el grupo tenía un enfoque claro en las agencias gubernamentales y la industria de defensa desde 2017, con una actividad concentrada en «cuestiones nucleares y energía» a partir de 2019. El informe agregó que el interés de APT45 en el ransomware lo distingue de varias otras bandas cibernéticas norcoreanas y reiteró que es posible que las actividades motivadas financieramente del grupo estén orientadas no solo a respaldar sus propias operaciones, sino a generar fondos para otras prioridades estatales. El grupo está fuertemente vinculado a lo que Mandiant describe como una «genealogía distinta de familias de malware separadas de operadores norcoreanos pares como TEMP.Hermit y APT43». Mandiant detalló algunos de los ataques notables del grupo en los últimos años, revelando que ha estado apuntando a una amplia gama de sectores. En 2016, por ejemplo, Mandiant afirmó que APT45 probablemente aprovechó RIFLE para atacar a organizaciones financieras de Corea del Sur, y de manera similar atacó a un banco del sur de Asia con un ataque de phishing en 2021. La infraestructura crítica ha sido un enfoque cada vez mayor para el grupo, como lo señaló el NCSC, y Mandiant subrayó este hecho, señalando que en 2019 APT45 atacó directamente instalaciones de investigación nuclear y plantas de energía como la planta de energía nuclear de Kudankulam en la India. Este marcó uno de los pocos casos conocidos públicamente de actores de amenazas norcoreanos que apuntaron a infraestructura crítica, afirmó Mandiant, pero desde entonces la actividad de APT45 contra estos servicios solo ha aumentado. En septiembre de 2020, el grupo atacó la división de ciencia de cultivos de una corporación multinacional, lo que Mandiant sugirió que posiblemente fue con el objetivo de interrumpir la producción agrícola durante la pandemia de COVID-19. A lo largo de 2021, Mandiant afirmó que APT45 se centró en empresas de atención médica y farmacéutica, lo que dice que continuó en 2023. Mandiant declaró que espera que la actividad motivada financieramente del grupo continúe junto con la recopilación de inteligencia, describiendo esto como una característica definitoria de las operaciones cibernéticas de Corea del Norte. Agregó que a medida que la RPDC se vuelve cada vez más dependiente de sus operaciones cibernéticas como un «instrumento de poder nacional», el seguimiento de la actividad de APT45 y grupos similares puede ayudar a revelar la Cambio de prioridades de los dirigentes del país