Home Ciberguerra Grupo cibercriminal norcoreano, intensifica sus ataques

Grupo cibercriminal norcoreano, intensifica sus ataques

Un nuevo informe de los investigadores de seguridad de Proofpoint Inc. detalla que un actor de amenazas alineado con Corea del Norte está llevando a cabo ataques que se han intensificado en 2021.

Apodado TA406, el actor de la amenaza está asociado con el grupo de actores de la amenaza Kimsuky, conocido por algunos como Thallium y Konni Group, pero una entidad única por derecho propio. El grupo lleva a cabo varias actividades nefastas, como el espionaje, la ciberdelincuencia y la sextorsión, centrándose en atacar a la investigación, la educación, el gobierno, los medios de comunicación y otras organizaciones.

TA406 fue identificado por primera vez en 2018, pero las campañas del actor de la amenaza se mantuvieron en un volumen bajo hasta enero. Desde enero hasta junio, TA406 amplió su actividad con campañas casi semanales dirigidas a expertos en política exterior, periodistas y organizaciones no gubernamentales.

El grupo sólo utiliza a veces malware y se dirige principalmente a las víctimas potenciales a través de campañas de spear-phishing, que son intentos dirigidos a persuadir a las personas de que están proporcionando información a alguien que conocen. TA406, junto con los grupos relacionados TA408 y TA427, tienen una cosa en común: los ataques suelen lanzarse entre las 9 y las 17 horas, hora de Corea del Norte, con algunas excepciones. También parece que se toman un descanso para comer.

Los objetivos del TA406 residen principalmente en Norteamérica, China y Rusia. El grupo suele hacerse pasar por diplomáticos y académicos rusos, representantes del Ministerio de Asuntos Exteriores, funcionarios de derechos humanos o individuos coreanos.

Aunque el espionaje es un factor de motivación en algunos ataques, el grupo también ha atacado a personas y organizaciones relacionadas con la criptomoneda para obtener beneficios económicos.

Algunas de las tácticas utilizadas por TA406 son también interesantes. Los aspectos de phishing con adjuntos dudosos o páginas de inicio de sesión falsas se han visto entre muchos grupos antes, pero TA406 lleva el spear-phishing al siguiente nivel creando cuentas falsas de LinkedIn. En uno de los casos, había una persona falsa con el nombre de “Tomas Jimy”, con la afirmación de que Jimy era un investigador de la Universidad de Stanford.

TA406 suele ser predecible en cuanto al tipo de personas a las que se dirige, pero hay algunas excepciones. Una de las campañas de este año tenía un objetivo drásticamente diferente al normal por razones desconocidas. La campaña tuvo lugar más o menos al mismo tiempo que las pruebas de misiles de Corea del Norte de marzo de 2021 y se dirigió a varias organizaciones y personas que no se habían observado anteriormente como objetivos del TA406.

Entre los destinatarios de esa campaña se encontraban algunos de los funcionarios electos de más alto rango de varias instituciones gubernamentales, un empleado de una empresa consultora, instituciones gubernamentales relacionadas con la defensa, las fuerzas del orden y la economía y las finanzas, además de buzones genéricos de la junta directiva y de relaciones con los clientes de una gran institución financiera.