Se ha observado a un desconocido actor de amenazas patrocinado por el estado de Corea del Norte con motivaciones financieras probando varios métodos de infección en la naturaleza mientras se adhiere a una mentalidad de cultura “startup”.
Los hallazgos provienen de investigadores de seguridad de Proofpoint, que llamaron al grupo TA444 y dijeron que ha estado activo en su forma actual de apuntar a los intercambios de criptomonedas desde al menos 2017.
Según un aviso publicado ayer, el grupo luego adoptó una mentalidad advenediza a fines de 2022.
Además, Proofpoint dijo que se dieron cuenta de una estrategia de marketing completa diseñada por TA444 para aumentar su potencial de ingresos recurrentes anuales (ARR).
“Todo comienza con la elaboración de contenido señuelo que puede ser de interés o necesidad para el objetivo. Estos pueden incluir análisis de blockchains de criptomonedas, oportunidades de trabajo en empresas de prestigio o ajustes salariales.”
En cuanto a las herramientas utilizadas durante los ataques, se informó que TA444 utiliza “un impresionante conjunto de puertas traseras post-explotación en su historia.”
La lista incluye msoRAT, Cardinal, la suite Rantankba, Cheesetray y Dyepack, junto con puertas traseras pasivas, escuchas virtualizadas y extensiones de navegador para facilitar el robo.
El informe de Proofpoint llega días después de que la Oficina Federal de Investigación de Estados Unidos (FBI) confirmara que el grupo norcoreano Lazarus Group estaba detrás del robo de 100 millones de dólares a la firma de criptodivisas Harmony.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian