Según McAfee, Corea del Norte estuvo detrás de una campaña de ciber-espionaje dirigida a las empresas de defensa y aeroespaciales de EE.UU. a principios de este año.
El grupo de Investigación Avanzada de Amenazas (ATR) de la empresa de seguridad, informó que detectó similitudes en los TTPs con campañas anteriores en 2017 y 2019 que se atribuyeron a Cobra Oculta – el término paraguas utilizado para referirse a los grupos Lazarus, Kimsuky, KONNI y APT37 de Pyongyang.
Los nuevos ataques de la “Operación Estrella del Norte”, vistos de marzo a mayo, usaron como señuelo un correo electrónico bastante rudimentario de “spear-phishing” con anuncios legítimos de trabajo en contratistas de defensa.
Se trata de un truco conocido que se utiliza para eludir el análisis estático de documentos maliciosos, así como la detección, ya que los macros están incrustados en la plantilla descargada”.
Según el informe, las víctimas también fueron objeto de ataques a través de los medios de comunicación social.
La infraestructura comprometida de los países europeos se utilizó para alojar los servidores de mando y control (C2) y distribuir los implantes a las máquinas objetivo, añadió.
Sin embargo, la infraestructura C2 no estaba activa en el momento del análisis, lo que limitó la visión de McAfee sobre la campaña. El informe tampoco pudo aclarar exactamente qué organizaciones eran el objetivo, ya que no pudo recuperar ninguno de los correos electrónicos de spear-phishing.
McAfee sabe que los señuelos eran anuncios de trabajo en puestos de ingeniería y gestión de proyectos en varios programas de defensa de EE.UU., incluyendo: Jets de combate F-22, Defensa, Espacio y Seguridad (DSS), fotovoltaicos para células solares espaciales y el Grupo de Caza Integrado de Aeronáutica.
Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator