Se ha revelado que un nuevo grupo de amenazas de Corea del Norte, se ha dirigido a organizaciones gubernamentales, académicos y grupos de expertos en los Estados Unidos, Europa, Japón y Corea del Sur durante los últimos cinco años.
El actor de amenazas moderadamente sofisticado se rastrea como «APT43», y se lo identificado participando en operaciones de espionaje y delitos cibernéticos con motivación financiera que ayudan a financiar sus actividades.
Mandiant, propiedad de Google, ha estado rastreando al grupo de amenaza hace más o menos 5 años, y dijo que los principales motivos del grupo para llevar a cabo sus actividades delictivas en la red son tanto de espionaje como financieros, aprovechando técnicas como la recolección de credenciales y la ingeniería social para promover sus objetivos geopolíticos que beneficien estratégicamente a Corea del Norte.
«Más específicamente, Mandiant evalúa con confianza que APT43 es atribuible a la Oficina General de Reconocimiento de Corea del Norte (RGB), el principal servicio de inteligencia exterior del país«, explica el nuevo informe de Mandiant.
«El grupo combina capacidades técnicas moderadamente sofisticadas con tácticas agresivas de ingeniería social, especialmente contra organizaciones gubernamentales, académicos y grupos de expertos de Corea del Sur y con sede en Estados Unidos centrados en cuestiones geopolíticas de la península de Corea«.
Se dice que las actividades de APT43 son instruidas por la Oficina General de Reconocimiento (RGB), la agencia de inteligencia exterior de Corea del Norte, lo que indica superposiciones tácticas con otro grupo de amenazas denominado Kimsuky (también conocido como Black Banshee, Thallium o Velvet Chollima).
Además, se ha observado el uso de herramientas previamente asociadas con otros sindicatos adversarios subordinados dentro de RGB, como el Grupo Lazarus (también conocido como TEMP.Hermit).
APT43 utiliza correos electrónicos de spear-phishing de personas falsas o falsificadas para acercarse a sus objetivos, enviándolos a sitios web que se hacen pasar por entidades legítimas. Sin embargo, estos sitios web contienen páginas de inicio de sesión falsas en las que se engaña a las víctimas para que ingresen las credenciales de su cuenta.
Habiendo robado estas credenciales, APT43 inicia sesión con el objetivo de llevar a cabo la recopilación de inteligencia de ellos mismos. También utilizan los contactos de la víctima para llevar sus actividades de phishing a otras marcas.
«El grupo está principalmente interesado en la información desarrollada y almacenada dentro del ejército y el gobierno de los Estados Unidos, la base industrial de defensa (DIB) y las políticas de investigación y seguridad desarrolladas por la academia y los grupos de expertos con sede en EE.UU. centrados en la política de seguridad nuclear y la no proliferación«, explica el Informe.
«APT43 ha mostrado interés en industrias similares dentro de Corea del Sur, específicamente organizaciones sin fines de lucro y universidades que se enfocan en políticas globales y regionales, así como empresas manufactureras, que pueden proporcionar información sobre bienes cuya exportación a Corea del Norte ha sido restringida.«
APT43 emplea una estrategia similar a la mayoría de los grupos de amenazas provenientes de Corea del Norte que operan independientemente de la financiación estatal. De hecho, se espera que mantengan sus actividades a través de operaciones cibernéticas impulsadas financieramente.
Mandiant ha observado que APT43 usa aplicaciones de Android maliciosas que se dirigen a usuarios chinos que buscan obtener préstamos en criptomonedas y, en cambio, pierden sus activos digitales ante los actores de amenazas. La criptomoneda robada por APT43 se lava a través de servicios de alquiler de hash y minería en la nube utilizando muchos alias, direcciones de billeteras y métodos de pago.
El alquiler de hash permite a los clientes alquilar potencia computacional para la minería de criptomonedas, que se puede pagar con estas mismas.
Del porque ocupan este modus operandi es muy simple, es para no vincular de manera evidente las billeteras usadas para el robo de criptomonedas, con las usadas para la custodia de estas mismas, los grupos APTs norcoreanos usan servicios de minería o servicios de anonimato de billeteras, como lo era tornadocash en la red de Ethereum, para depositar las criptomonedas robadas a las víctimas, comprar poder de computo o poder de hash y obtener nuevas criptomonedas, las cuales son pagadas con la misma criptomoneda obtenida o por otros métodos de pagos.
Mandiant informa que vio al grupo pagando por el hardware y la infraestructura con PayPal, tarjetas American Express y Bitcoin, probablemente todos robados a las víctimas.
Y para finalizar, la empresa de ciberseguridad informa que otros investigadores en el pasado han detectado las actividades de APT43, pero generalmente se atribuyó a los grupos Kimsuky o Thalium. Además, se ha visto que APT43 ha utilizado malwares especialmente diseñados, durante la pandemia de COVID-19 que también usa el grupo de amenazas Lazarus, pero esta superposición duró muy poco.
En otro caso, el grupo de amenazas usó la herramienta «Lonejogger» que se ha asociado con el actor de amenazas UNC1069, que probablemente esté conectado a APT38.
APT43 también tiene su propio conjunto de malware personalizado que no emplean otros actores de amenazas, como «Pencildown», «Pendown», «Venombite» y «Egghatch», las herramientas «Logcabin» y «Lateop» («BabyShark»), y la puerta trasera «Hangman». Aparte de eso, el grupo también ha implementado herramientas disponibles públicamente como «gh0st RAT», «QuasarRAT» y «Amadey».
Se espera que APT43 siga siendo un grupo de amenaza muy activo en materia de robo de criptomonedas y labores de espionaje masivo, a menos que las prioridades de Corea del Norte den un giro de 360 grados.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
