Blog

Un Actor de Amenaza Norcoreano lanza nuevas campañas de ciberespionaje contra diferentes países

Recientemente se ha observado a un actor de amenazas patrocinado por el Estado norcoreano (Identificado como TA406) ha desplegado nuevas campañas de malware con el objetivo de realizar robos de información con fines de realizar ciber-espionaje a los países objetivos.

El actor de amenaza identificado como TA406 se atribuye a uno de los grupos conocidos como Kimsuky (o también como Thallium). Este grupo ha dejado diferentes rastros de actividad de bajo volumen desde 2018, centrándose principalmente en labores relacionadas al ciber-espionaje, la realización estafas para obtener dinero y la extorsión a diferentes organizaciones al rededor del mundo. Sin embargo, en marzo y junio del presente año, TA406 lanzó 2 campañas distintas de distribución de malware dirigidas a expertos en política internacional, periodistas y miembros de ONGs.

En un nuevo informe publicado por los investigadores de la empresa Proofpoint, rastrearon a TA406, tomaron muestras de sus herramientas y descubrieron los servicios de los que abusan y los señuelos de phishing que emplean en cada uno de sus ataques dirigidos.

TA406 se dedica principalmente a la distribución de malware, phishing, recopilación de información y al robo de criptomonedas, lo que da lugar a una amplia gama de actividades delictivas. El alcance de los objetivos es bastante amplio, incluyendo América del Norte, Rusia, China, Corea del Sur, Japón, Alemania, Francia, Reino Unido, Sudáfrica e India, entre otros en sus operaciones y campañas de ataques.

Los correos electrónicos de phishing enviados por TA406 suelen utilizar señuelos sobre seguridad nuclear y política internacional e interna (Dependiendo el país), dirigido principalmente a funcionarios electos de alto rango en los países objetivos.

Según el informe públicado por Proofpoint: «Entre los destinatarios de esa campaña se encontraban algunos de los funcionarios electos de más alto rango de varias instituciones gubernamentales, un empleado de una empresa de consultoría, instituciones gubernamentales relacionadas con la defensa, las fuerzas del orden y la economía y las finanzas, y buzones genéricos de la junta directiva y de relaciones con los clientes de una gran institución financiera«.

Los correos se envían desde sitios web comprometidos, y el remitente suele hacerse pasar por personas reales en lugar de crear personajes falsos. Lo cual, hace que este tipo de compañas tengan más posibilidad de ser exitosas si la victima realiza una simple búsqueda en Internet, generando un pequeño lazo de confianza de que «es una personal real».

Resulta interesante que, al realizar campañas de phishing para recoger credenciales, TA406 no suele crear elaboradas páginas de aterrizaje para hacerse pasar por un servidor conocido. En su lugar, utilizan la autenticación HTTP básica, que muestra un diálogo del navegador solicitando las credenciales del usuario. Los señuelos suelen ser archivos PDF que requieren que el destinatario inicie sesión en la plataforma de alojamiento utilizando sus credenciales personales o corporativas para poder verlos. Un ataque simple, pero muy sofisticado.

Paralelamente a lo anterior, TA406 también está realizando operaciones de robo de criptomonedas y, según los hallazgos de Proofpoint, ha recibido al menos 3,77 Bitcoin, por un valor aproximado de $222.000 dólares. Esto se hace a través de varios métodos, incluyendo hacerse pasar por ONG para recaudar donaciones, ofrecer servicios de decodificación/desfusión de archivos (probablemente falsos) a través de un sitio web llamado ‘Deioncube’, y estafas de extorsión sexual. Es posible que la cantidad de criptomonedas robadas sea mucho mayor, ya que es probable que los actores de la amenaza estén utilizando otros monederos, actualmente desconocidos para los investigadores de Proofpoint.

Para finalizar, los investigadores de Proofpoint anticipan que este actor de la amenaza continuará realizando sus operaciones de robo de credenciales corporativas con frecuencia, dirigidas a entidades de interés para el gobierno de Corea del Norte.

Más información

https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-threat-insight-paper-triple-threat-N-Korea-aligned-TA406-steals-scams-spies.pdf

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad