Una campaña maliciosa montada por el grupo Lazarus, vinculado a Corea del Norte, tuvo como objetivo a proveedores de energía de todo el mundo, incluidos los que tienen su sede en Estados Unidos, Canadá y Japón, entre febrero y julio de 2022.
La maniobra está destinada a infiltrarse en organizaciones de todo el mundo para establecer un acceso a largo plazo y posteriormente exfiltrar datos de interés para el estado-nación del adversario.
Algunos elementos de los ataques de espionaje ya son de dominio público, gracias a informes anteriores de Symantec, propiedad de Broadcom, y de AhnLab, a principios de abril y mayo. Symantec atribuyó la operación a un grupo denominado Stonefly, un subgrupo de Lazarus más conocido como Andariel, Guardian of Peace, OperationTroy y Silent Chollima.
Si bien estos ataques ya llevaron a la instrumentación de los implantes Preft (también conocido como Dtrack) y NukeSped (también conocido como Manuscrypt), la última ola de ataques destaca por emplear otras dos piezas de malware: VSingle, un bot HTTP que ejecuta código arbitrario desde una red remota, y un backdoor Golang llamado YamaBot.
También se ha utilizado en la campaña un nuevo troyano de acceso remoto llamado MagicRAT que viene con capacidades para evadir la detección y lanzar cargas útiles adicionales en los sistemas infectados.
El acceso inicial a las redes empresariales se facilita mediante la explotación de vulnerabilidades en los productos de VMware (por ejemplo, Log4Shell) con el objetivo final de establecer un acceso persistente para realizar actividades en apoyo de los objetivos del gobierno norcoreano.
Se dice que el uso de VSingle en una cadena de ataque permitió al actor de la amenaza llevar a cabo una serie de actividades como el reconocimiento, la exfiltración y el backdooring manual, lo que permitió a los operadores tener un sólido conocimiento del entorno de la víctima.
Otras tácticas adoptadas por el grupo, además del uso de malware a medida, incluyen la recolección de credenciales a través de herramientas como Mimikatz y Procdump, la desactivación de componentes antivirus y el reconocimiento de los servicios de Active Directory, e incluso la toma de medidas para limpiar sus rastros después de activar las puertas traseras en el punto final.