Un actor de amenazas vinculado a Corea del Norte conocido por sus operaciones de ciberespionaje se ha trasladado gradualmente a ataques con motivación financiera que implican el despliegue de ransomware, lo que lo distingue de otros grupos de piratería de estados-nación vinculados al país.
Mandiant, propiedad de Google, rastrea el grupo de actividad con un nuevo nombre APT45que se superpone con nombres como Andariel, Nickel Hyatt, Onyx Sleet, Stonefly y Silent Chollima.
«APT45 es un operador cibernético norcoreano moderadamente sofisticado y de larga data que ha llevado a cabo campañas de espionaje ya en 2009», dijeron los investigadores Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan y Michael Barnhart. dicho“APT45 es el virus observado con más frecuencia que ataca infraestructuras críticas. »
Vale la pena mencionar que APT45, junto con APT38 (también conocido como BlueNoroff), APT43 (también conocido como Kimsuky) y Lazarus Group (también conocido como TEMP.Hermit), son elementos de la Oficina General de Reconocimiento (RGB) de Corea del Norte, la primera organización de inteligencia militar del país. .
APT45 está notablemente vinculado a la implementación de familias de ransomware conocidas como SHATTEREDGLASS y Maui dirigidas a entidades en Corea del Sur, Japón y Estados Unidos en 2021 y 2022. Kaspersky documentó los detalles de SHATTEREDGLASS en junio de 2021.
«Es posible que APT45 esté cometiendo delitos cibernéticos por motivos financieros, no sólo para apoyar sus propias operaciones, sino también para generar fondos para otras prioridades estatales de Corea del Norte», dijo Mandiant.
Otro malware notable en su arsenal es una puerta trasera denominada Dtrack (también conocida como Valefor y Preft), que se utilizó por primera vez en un ciberataque dirigido a la planta de energía nuclear de Kudankulam en India en 2019, lo que marca uno de los pocos casos conocidos públicamente de actores norcoreanos atacando críticas. infraestructura.
«APT45 es uno de los operadores cibernéticos más antiguos de Corea del Norte, y la actividad del grupo refleja las prioridades geopolíticas del régimen incluso cuando las operaciones han pasado del tradicional ciberespionaje contra entidades gubernamentales y de defensa a la atención médica y la ciencia agrícola», dijo Mandiant.
“A medida que el país se ha vuelto dependiente de sus operaciones cibernéticas como instrumento de poder nacional, las operaciones llevadas a cabo por APT45 y otros operadores cibernéticos norcoreanos pueden reflejar la evolución de las prioridades de los líderes del país. »
Los hallazgos se producen cuando la empresa de capacitación en concientización sobre seguridad KnowBe4 dijo que fue engañada para contratar a un trabajador de TI norcoreano como ingeniero de software, quien utilizó la identidad robada de un ciudadano estadounidense y mejoró su imagen con la ayuda de la inteligencia artificial (IA).
«Era un experto informático norcoreano, respaldado por una infraestructura criminal patrocinada por el Estado, que utilizaba la identidad robada de un ciudadano estadounidense que participaba en múltiples rondas de entrevistas en vídeo y eludía los procesos de verificación de seguridad comúnmente utilizados por las empresas», dijo la empresa. .
El ejército de trabajadores de TI, considerado parte del Departamento de Industria de Municiones del Partido de los Trabajadores de Corea, tiene un historial de buscar trabajo en empresas con sede en Estados Unidos fingiendo estar ubicados en el país cuando en realidad están en China y Rusia, conectándose de forma remota. a través de computadoras portátiles proporcionadas por la empresa y entregadas en una «granja de computadoras portátiles».
KnowBe4 dijo que detectó actividad sospechosa en la estación de trabajo Mac enviada al individuo el 15 de julio de 2024 a las 9:55 p.m. EST, que incluía manipulación de archivos del historial de sesiones, transferencia de archivos potencialmente dañinos y ejecución de software dañino. El malware se descargó utilizando una Raspberry Pi.
Veinticinco minutos después, la empresa de ciberseguridad con sede en Florida dijo que había confinado el dispositivo del empleado. no hay pruebas que el atacante obtuvo acceso no autorizado a datos o sistemas confidenciales.
«La estafa es que en realidad hacen el trabajo, les pagan bien y dan una gran suma a Corea del Norte para financiar sus programas ilegales», dijo Stu Sjouwerman, director ejecutivo de KnowBe4. dicho.
“Este caso resalta la necesidad crítica de procesos de control más sólidos, monitoreo continuo de la seguridad y una mejor coordinación entre los equipos de recursos humanos, TI y seguridad para proteger contra amenazas persistentes avanzadas. »
