Piratas informáticos de Corea del Norte, patrocinados por el Estado, y conocidos como APT37, han sido descubiertos apuntando a periodistas especializados en la RPDC, con una novedosa cepa de malware.
El malware se distribuye a través de un ataque de phishing descubierto por primera vez por NK News, un sitio de noticias estadounidense dedicado a cubrir las noticias y proporcionar investigación y análisis sobre Corea del Norte, utilizando la inteligencia desde dentro del país.
Se cree que el grupo de piratas informáticos APT37, también conocido como Ricochet Chollima, está patrocinado por el gobierno norcoreano, que considera la información periodística como una operación hostil, e intentó utilizar este ataque para acceder a información altamente sensible y potencialmente identificar las fuentes de los periodistas.
Después de que NK News descubriera el ataque, se puso en contacto con los expertos en malware de Stairwell para obtener más ayuda, quienes se encargaron del análisis técnico.
Stairwell encontró una nueva muestra de malware llamada “Goldbackdoor”, que fue evaluada como sucesora de “Bluelight”.
Vale la pena señalar que esta no es la primera vez que APT37 ha sido vinculada a campañas de malware dirigidas a periodistas, siendo la más reciente un informe de noviembre de 2021 que empleaba el backdoor “Chinotto”, altamente personalizable.
Aunque se trata de una campaña muy selectiva, el descubrimiento, la exposición y las reglas de detección resultantes y los hashes de archivos disponibles en el informe técnico de Stairwell siguen siendo importantes para la comunidad de infoseguridad.