Investigadores de seguridad han descubierto nuevas tácticas asociadas con el actor de amenazas TA427, también conocido como Emerald Sleet, APT43, THALLIUM o Kimsuky.
Se ha observado que este grupo, que se cree está alineado con la Oficina General de Reconocimiento de Corea del Norte, participa en campañas de phishing por correo electrónico dirigidas a expertos para obtener información sobre las políticas exteriores de Estados Unidos y Corea del Sur.
Según un aviso publicado por Proofpoint el martes, TA427 se ha puesto en contacto directamente con expertos en política exterior desde 2023, solicitando sus opiniones sobre temas como el desarme nuclear, las políticas y sanciones entre Estados Unidos y Corea del Sur a través de conversaciones por correo electrónico aparentemente benignas.
En los últimos meses, ha habido un aumento notable en esta actividad, con TA427 empleando tácticas de ingeniería social, cambiando periódicamente las infraestructuras de correo electrónico y, más recientemente, abusando de políticas laxas de autenticación, informes y conformidad de mensajes basados en dominios (DMARC) para falsificar a varias personas.
También comenzaron a utilizar balizas web, pequeños objetos invisibles incrustados en correos electrónicos o páginas web, para crear perfiles de objetivos desde febrero de 2024.
Lea más sobre la seguridad DMARC: solo el 1% de los dominios Dot-Org están completamente protegidos por DMARC
Este patrón de interacción y las tácticas utilizadas por TA427 han generado preocupación, advirtió Proofpoint. El grupo parece experto en ingeniería social, con el objetivo de aumentar la inteligencia norcoreana en asuntos de política exterior. Al involucrar a los objetivos en conversaciones prolongadas, a menudo durante semanas o meses, y utilizar contenido atractivo personalizado, TA427 crea una buena relación y busca información sin recurrir inmediatamente a malware o recolección de credenciales.
Los objetivos de las campañas de phishing de TA427 incluyen expertos de grupos de expertos, ONG, medios de comunicación, academia y gobierno. El grupo se hace pasar por personas de estos sectores para aumentar la legitimidad de sus solicitudes de información o participación. Más allá del abuso de DMARC, también recurren a errores tipográficos o a la falsificación de cuentas de correo electrónico privadas para hacerse pasar por personalidades u organizaciones de confianza.
El uso de balizas web es una incorporación reciente a las tácticas de TA427, que les permite recopilar información fundamental sobre los entornos de red de los destinatarios.
“Si bien las campañas señaladas en este blog no están despojando a objetivos de millones de dólares, esta actividad persigue algo que es infinitamente más difícil de cuantificar: información e influencia”, escribió Proofpoint.
“Con un claro grado de éxito, TA427 no muestra indicios de desaceleración o pérdida de agilidad para ajustar sus tácticas y crear nuevas infraestructuras y personas con conveniencia”.