Home Ciberguerra El grupo APT norcoreano Kimsuky amplía sus tácticas de ingeniería social

El grupo APT norcoreano Kimsuky amplía sus tácticas de ingeniería social

Investigadores de seguridad han descubierto una nueva campaña de ingeniería social orquestada por el grupo norcoreano de amenazas persistentes avanzadas (APT) conocido como Kimsuky.

La campaña, descrita en un aviso publicado el martes por SentinelOne, se dirige específicamente a expertos en asuntos norcoreanos y tiene como objetivo robar credenciales y recopilar inteligencia estratégica.

El objetivo principal de los ataques es robar credenciales de Google y de suscripción de un destacado servicio de noticias y análisis centrado en Corea del Norte.

Para lograr este objetivo, Kimsuky emplea tácticas sofisticadas, incluida una extensa correspondencia por correo electrónico, URL falsas y el uso de un malware de reconocimiento llamado ReconShark.

En concreto, SentinelOne observó que los atacantes de Kimsuky iniciaban el contacto haciéndose pasar por Chad O’Carroll, fundador de NK News y del holding asociado Korea Risk Group.

Enviaban correos electrónicos a sus objetivos solicitando la revisión de un borrador de artículo en el que se analizaba la amenaza nuclear planteada por Corea del Norte. Si los objetivos participaban en la conversación, Kimsuky aprovechaba la oportunidad para enviar una URL falsa a un documento de Google, que redirigía a un sitio web malicioso que capturaba las credenciales de Google.

Además, Kimsuky distribuyó correos electrónicos que atraían a las personas objetivo a iniciar sesión en un sitio web falso de NK News, con el objetivo de robar sus credenciales de suscripción.

Según el aviso de SentinelOne, la campaña pone de manifiesto la creciente dedicación de Kimsuky a la ingeniería social y su interés cada vez mayor por recopilar inteligencia estratégica.

SentinelLabs concluye su aviso instando a organizaciones y particulares a permanecer vigilantes y aplicar medidas de seguridad adecuadas para mitigar los riesgos que plantean los persistentes ataques de ingeniería social de Kimsuky.

Su publicación se produce semanas después de que SentinelOne publicara otro aviso en el que describía una campaña mundial de spear-phishing llevada a cabo por Kimsuky.