Recientemente se ha observado a un actor de amenazas patrocinado por el Estado norcoreano (Identificado como TA406) ha desplegado nuevas campañas de malware con el objetivo de realizar robos de información con fines de realizar ciber-espionaje a los países objetivos.
El actor de amenaza identificado como TA406 se atribuye a uno de los grupos conocidos como Kimsuky (o también como Thallium). Este grupo ha dejado diferentes rastros de actividad de bajo volumen desde 2018, centrándose principalmente en labores relacionadas al ciber-espionaje, la realización estafas para obtener dinero y la extorsión a diferentes organizaciones al rededor del mundo. Sin embargo, en marzo y junio del presente año, TA406 lanzó 2 campañas distintas de distribución de malware dirigidas a expertos en política internacional, periodistas y miembros de ONGs.
En un nuevo informe publicado por los investigadores de la empresa Proofpoint, rastrearon a TA406, tomaron muestras de sus herramientas y descubrieron los servicios de los que abusan y los señuelos de phishing que emplean en cada uno de sus ataques dirigidos.
TA406 se dedica principalmente a la distribución de malware, phishing, recopilación de información y al robo de criptomonedas, lo que da lugar a una amplia gama de actividades delictivas. El alcance de los objetivos es bastante amplio, incluyendo América del Norte, Rusia, China, Corea del Sur, Japón, Alemania, Francia, Reino Unido, Sudáfrica e India, entre otros en sus operaciones y campañas de ataques.

Los correos electrónicos de phishing enviados por TA406 suelen utilizar señuelos sobre seguridad nuclear y política internacional e interna (Dependiendo el país), dirigido principalmente a funcionarios electos de alto rango en los países objetivos.
Según el informe públicado por Proofpoint: «Entre los destinatarios de esa campaña se encontraban algunos de los funcionarios electos de más alto rango de varias instituciones gubernamentales, un empleado de una empresa de consultoría, instituciones gubernamentales relacionadas con la defensa, las fuerzas del orden y la economía y las finanzas, y buzones genéricos de la junta directiva y de relaciones con los clientes de una gran institución financiera«.
Los correos se envían desde sitios web comprometidos, y el remitente suele hacerse pasar por personas reales en lugar de crear personajes falsos. Lo cual, hace que este tipo de compañas tengan más posibilidad de ser exitosas si la victima realiza una simple búsqueda en Internet, generando un pequeño lazo de confianza de que «es una personal real».

Resulta interesante que, al realizar campañas de phishing para recoger credenciales, TA406 no suele crear elaboradas páginas de aterrizaje para hacerse pasar por un servidor conocido. En su lugar, utilizan la autenticación HTTP básica, que muestra un diálogo del navegador solicitando las credenciales del usuario. Los señuelos suelen ser archivos PDF que requieren que el destinatario inicie sesión en la plataforma de alojamiento utilizando sus credenciales personales o corporativas para poder verlos. Un ataque simple, pero muy sofisticado.
Paralelamente a lo anterior, TA406 también está realizando operaciones de robo de criptomonedas y, según los hallazgos de Proofpoint, ha recibido al menos 3,77 Bitcoin, por un valor aproximado de $222.000 dólares. Esto se hace a través de varios métodos, incluyendo hacerse pasar por ONG para recaudar donaciones, ofrecer servicios de decodificación/desfusión de archivos (probablemente falsos) a través de un sitio web llamado ‘Deioncube’, y estafas de extorsión sexual. Es posible que la cantidad de criptomonedas robadas sea mucho mayor, ya que es probable que los actores de la amenaza estén utilizando otros monederos, actualmente desconocidos para los investigadores de Proofpoint.

Para finalizar, los investigadores de Proofpoint anticipan que este actor de la amenaza continuará realizando sus operaciones de robo de credenciales corporativas con frecuencia, dirigidas a entidades de interés para el gobierno de Corea del Norte.
Más información

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.