Los sofisticados engaños de los hackers norcoreanos para extraer información de expertos

Bruce Klingner, un veterano especialista en el noreste de Asia, una vez recibió un mensaje de una dirección de correo electrónico verificada del analista de Corea Aidan Foster-Carter que parecía inocuo: ¿Podría Klingner revisar un artículo del experto en política nuclear Jamie Kwong?

Klingner estuvo de acuerdo y comenzó a intercambiar correos electrónicos con “Kwong” sobre su artículo. Luego llegó un correo electrónico con un enlace sospechoso, que reenvió a su equipo de TI. Era malware y todo el intercambio fue una trampa; ni Foster-Carter ni Kwong se habían puesto en contacto con Klingner.

Al igual que muchos observadores de Corea, Klingner, investigador principal de la Fundación Heritage, puede recitar más de media docena de intentos de phishing haciéndose pasar por investigadores, funcionarios gubernamentales y periodistas. Tales esfuerzos están relacionados con una operación de ciberespionaje cada vez más prolífica de Corea del Norte que utiliza ingeniería social y personas fraudulentas para recopilar inteligencia, según un nuevo informe publicado el martes por la firma estadounidense de ciberseguridad Mandiant.

Mandiant, que forma parte de Google Cloud, ha elevado el estado de amenaza de este grupo, al que ha denominado Advanced Persistent Threat 43 o APT43.

El nuevo aviso de Mandiant sigue a una advertencia de la semana pasada sobre el mismo equipo por parte de las agencias de seguridad de Corea del Sur y Alemania, que descubrieron que los piratas informáticos de Corea del Norte han estado librando una campaña diseñada para obtener acceso a las cuentas de Google de las víctimas, con ataques que utilizan el navegador y la aplicación de compras de Google como sus puntos de partida.

En los últimos años, estos intentos de phishing se han vuelto más sofisticados. A veces ni siquiera incluyen enlaces o archivos adjuntos. En cambio, los piratas informáticos establecen una relación con los expertos para obtener información sobre las políticas relacionadas con Corea del Norte haciéndose pasar por personas en grupos de expertos legítimos e informes de “comisionamiento”, dijo Klingner, quien ha investigado la actividad cibernética de Corea del Norte.

Corea del Norte ha sido conocida durante mucho tiempo por su alcance expansivo y la sofisticación de su armamento cibernético, siendo el más infame el pirateo masivo de Sony Pictures en 2014 por una película que se burla del líder norcoreano Kim Jong Un. Los guerreros cibernéticos de Kim han sido acusados de generar millones de dólares a la vez a través de sus ataques.

El informe, que ofrece una visión integral de las actividades de APT43, destaca la operación de ciberdelincuencia cada vez más compleja de Pyongyang.

Algunos de los grupos respaldados por el régimen conocidos están vinculados a esquemas a gran escala, como Lazarus Group, que los investigadores estadounidenses dijeron que estaba detrás del ataque a Sony. Otros, como APT43, tienen un enfoque más limitado y complementan las operaciones más grandes, mientras comparten técnicas y trabajan hacia un objetivo común de apoyar las ambiciones nucleares de Kim, dijo Ben Read, jefe de análisis de ciberespionaje de Mandiant.

“Muestra especialización entre los diferentes grupos”, dijo Read. “Es una burocracia. No es solo un grupo indiferenciado de piratas informáticos, sino que hay equipos que constantemente, año tras año, operan de una manera que se puede conocer”.

APT43 juega la “estafa a largo plazo” a través de una ingeniería social inusualmente agresiva dirigida a personas de Corea del Sur, Japón y Estados Unidos con información sobre las negociaciones y sanciones internacionales que afectan a Corea del Norte, y roba criptomonedas para mantener sus propias operaciones, según los investigadores de Mandiant.

El equipo también apuntó a compañías farmacéuticas y de atención médica durante la pandemia, lo que demuestra que las operaciones cibernéticas del régimen de Corea del Norte son “muy sensibles a las demandas del liderazgo de Pyongyang”, encontró Mandiant.

Las empresas de seguridad cibernética individuales a menudo mantienen sus propias reglas separadas para nombrar equipos de piratería. Otros investigadores de seguridad y agencias gubernamentales se refieren a APT43 con diferentes apodos, y todos ellos son “más o menos equivalentes”, dijo Read: Kimsuky, Thallium, Velvet Chollima, TA406 y Black Banshee se encuentran entre los otros nombres del grupo.

Una colección de agencias cibernéticas de EEUU dijo en 2020 que es probable que Kimsuky haya estado operando desde 2012. Fuera de sus objetivos en los Estados Unidos, Corea del Sur y Japón, otros objetivos de piratería destacados, informados anteriormente, incluyen casi una docena de funcionarios de Naciones Unidas. Consejo de Seguridad en 2020 y una planta de energía nuclear que violó en India en 2019.

APT43 también está involucrado en el robo y lavado de criptomonedas dirigido a usuarios comunes, en lugar de intercambios de criptomonedas a gran escala, descubrió Mandiant.

En 2022, Corea del Norte robó niveles récord de criptomonedas a través de varios métodos, según un borrador de informe de seguimiento de la ONU obtenido por Reuters. Expertos de la ONU han acusado a los esfuerzos cibernéticos de Corea del Norte de robar cientos de millones de dólares de instituciones financieras y a través de intercambios de criptomonedas para financiar sus programas nucleares y de misiles.

La criptomoneda también ha sido objeto de atención ya que Corea del Norte ha reducido drásticamente el comercio con China, su principal ayuda económica, al tiempo que aumenta sus pruebas de misiles y enfrenta sanciones internacionales paralizantes, lo que genera dudas sobre cómo el país empobrecido está financiando su frenesí de pruebas.

Pyongyang ha negado las acusaciones de delitos cibernéticos y robo de criptomonedas.

No es probable que APT43 esté vinculado a ningún atraco importante conocido, dijo Read. Pero es único porque se dirige a los usuarios cotidianos, y a muchos de ellos, lo que hace que sus actividades sean más difíciles de detectar mientras sigue acumulando criptomonedas, dijeron los expertos de Mandiant.

Desde junio de 2022, Mandiant ha rastreado más de 10 millones de intentos de phishing utilizando tokens no fungibles, o NFT, que movieron con éxito la criptomoneda, según Mandiant.

“Al distribuir su ataque entre cientos, si no miles, de víctimas, su actividad se vuelve menos perceptible y más difícil de rastrear que golpear un objetivo grande”, dijo Michael Barnhart, analista principal de Mandiant, en un comunicado. “Su ritmo de ejecución, combinado con su tasa de éxito, es alarmante”.

Una vez que los investigadores identifican la criptomoneda robada, los ladrones pueden tener dificultades para convertirla en moneda tradicional. Para lavar su criptomoneda robada, los piratas informáticos de APT43 pagan para alquilar servicios utilizados para “minar” o crear diferentes criptomonedas que no están conectadas con los fondos robados, dijo Mandiant. Este método, llamado “alquiler de hash”, es una forma menos común y algo obsoleta de lavar criptomonedas, dijeron los expertos.

Seguir leyendo: