El grupo APT vinculado con Corea del Norte, BlueNoroff, conocido por llevar a cabo campañas de robo de criptomonedas y comprometer diferentes entidades para atraer fondos a las arcas fiscales de la Familia de Kim y tener vínculos directos con APT38 (Lazarus Group), se ha atribuido a una nueva ola de ataques maliciosos vía correo electrónico como parte de una actividad de recolección de credenciales «en expansión» dirigida a una serie de industrias, marcando un cambio significativo en su estrategia operativa.
El actor de amenazas alineado con el estado está siendo rastreado por Proofpoint bajo el nombre TA444, y por la comunidad de ciberseguridad como APT38, BlueNoroff, Copernicium y Stardust Chollima.
Este grupo APT es muy conocido en el sector de la ciberseguridad por llevar a cabo campañas y ciberataques con la finalidad principal de robar capital, ya sea criptomonedas o cualquier otra moneda fiat, para las arcas fiscales de la familia del dictador.
Con ese fin, los ataques emplean el uso de correos electrónicos phishing, generalmente adaptados a los intereses de la víctima, que están cargados de archivos adjuntos con malware, como archivos LNK e imágenes ISO.
Entre otras tácticas, se incluye el uso de cuentas comprometidas de LinkedIn pertenecientes a ejecutivos legítimos de compañías de renombre para acercarse e interactuar con los objetivos antes de entregar enlaces maliciosos.
Sin embargo, las campañas más recientes a principios de diciembre de 2022 han sido testigos de una «desviación significativa«, en la que los mensajes de phishing llevaron a los destinatarios a hacer clic en una URL que redirigía a una página de recolección de credenciales.
La campaña de spam de correo electrónico fue dirigida a varias organizaciones del sector financiero, incluidas las de educación, gobierno y la atención médica, en los Estados Unidos y Canadá.
Dejando a un lado las nuevas campañas, también se ha observado que TA444 ha estado expandiendo la funcionalidad de CageyChameleon (también conocido como CabbageRAT) para ayudar aún más en generar el perfil de la víctima, al tiempo que mantiene un amplio arsenal de herramientas post-explotación para facilitar el robo de credenciales.
«A principios de diciembre de 2022, los investigadores de Proofpoint observaron una desviación significativa de las operaciones normales de TA444 a través de una campaña de recolección de credenciales relativamente básica. Un dominio TA444 C2 envió correos electrónicos de phishing de OneDrive plagados de errores tipográficos a una amplia variedad de objetivos en los Estados Unidos y Canadá, que abarcan varias verticales, incluidas la educación, el gobierno y la atención médica, además de las verticales financieras«, dijo Proofpoint.

Los hallazgos se producen cuando el FBI acusó a formalmente al grupo BlueNoroff de llevar a cabo el robo de $100 millones de dólares en Ethereum del puente Harmony Horizon al Grupo Lazarus en junio de 2022.
«Con una mentalidad de inicio y una pasión por la criptomoneda, TA444 encabeza la generación de flujo de efectivo de Corea del Norte para el régimen al traer fondos lavables«, dijo Greg Lesnewich de Proofpoint. «Este actor de amenazas rápidamente idea nuevos métodos de ataque mientras adopta las redes sociales como parte de su [modus operandi]».
El grupo «sigue comprometido en sus esfuerzos por utilizar las criptomonedas como un vehículo para proporcionar fondos útiles para el régimen«, agregó la compañía.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence