Microsoft, al igual que Google TAG, observó una campaña de ciberespionaje dirigida a investigadores de vulnerabilidades que atribuyó al grupo Zinc APT vinculado a Corea del Norte.
Según el equipo de Google que se centra en los ataques de estados-nación, un grupo APT vinculado a Corea del Norte ha atacado a expertos que trabajan en la investigación de la vulnerabilidad de la seguridad.
Microsoft informó de que los actores de la amenaza, intentaron ponerse en contacto con los investigadores pidiéndoles que colaboraran en proyectos de investigación de vulnerabilidades.
Los atacantes emplearon una puerta trasera personalizada para comprometer los sistemas de los investigadores de vulnerabilidades.
Según Microsoft, el grupo APT “ZINC” ha estado atacando a los investigadores de seguridad, a los probadores de plumas y a los empleados de las empresas de seguridad durante los últimos meses.
La actividad del grupo APT Zinc, también conocido como Lazarus, se disparó en 2014 y 2015, sus miembros utilizaron principalmente malware a medida en sus ataques. Este actor de amenazas ha estado activo desde al menos 2009, posiblemente ya en 2007, y estuvo involucrado tanto en campañas de ciberespionaje como en actividades de sabotaje destinadas a destruir datos e interrumpir sistemas.
El grupo es considerado responsable del ataque masivo de ransomware WannaCry, de una serie de ataques a SWIFT en 2016 y del hackeo a Sony Pictures.
Los cibercriminales se dirigieron a los investigadores a través de múltiples plataformas de redes sociales, como Twitter, LinkedIn, Telegram, Discord y Keybase.
Los actores de la amenaza utilizaron una red de perfiles falsos para ponerse en contacto con los investigadores de interés. A mediados de 2020, los hackers de ZINC crearon perfiles de Twitter para falsos investigadores de seguridad que se utilizaron para retuitear contenido de seguridad y publicar sobre la investigación de vulnerabilidades.