Los investigadores de amenazas de Mandiant de Google Cloud han atribuido una campaña de actividad delictiva cibernética fuera de Corea del Norte a un actor de amenazas persistente avanzado recientemente designado, APT43, en su primera “actualización” oficial en seis meses.
Mandiant dijo que APT43 era un prolífico actor de amenazas que operaba en nombre del régimen de Corea del Norte y, al igual que muchos otros grupos que operan desde el estado empobrecido y aislado, su acción comercial es el delito cibernético motivado financieramente.
Sus investigadores han estado rastreando la actividad del grupo desde 2018, analizando montones de datos de investigación y conectando los puntos entre varios incidentes, pero solo ahora ha reunido suficiente evidencia para poder hacer una atribución formal.
Las prioridades de APT43 se alinean con la misión de la unidad de inteligencia exterior de Corea del Norte, la Oficina General de Reconocimiento (RGB), y su enfoque principal es el lavado de criptomonedas para comprar infraestructura operativa de tal manera que reduzca la necesidad de que el gobierno central gaste mucho. fondos necesarios. Esto se alinea con la ideología Juche de autosuficiencia del estado.
Hasta ahora, su objetivo ha sido principalmente contra objetivos en Corea del Sur, Japón, Europa y los EE. UU. en una amplia gama de sectores, incluidos el gobierno, las empresas y la fabricación. Al igual que muchas otras amenazas persistentes avanzadas (APT) de Corea del Norte, también se dirige a instituciones educativas y de investigación, y organizaciones como grupos de expertos políticos que se ocupan de la geopolítica regional y especialmente de la política nuclear.
“En Europa, las preocupaciones por este grupo deberían centrarse más en el lado del espionaje que en las actividades de generación de ingresos, que han sido más comunes en Estados Unidos”, dijo Michael Barnhart, analista principal de Mandiant.
“Durante la pandemia, partes de APT43 tenían objetivos secundarios para adquirir información relacionada con la vacuna Covid-19 además de su mandato en torno a los esfuerzos estratégicos nucleares y de relaciones exteriores, por lo que los vimos apuntar a grupos de expertos y organizaciones de formulación de políticas, entidades de relaciones exteriores y órganos de gobierno en Europa para tratar de lograr este objetivo.
“También hemos visto al grupo haciéndose pasar por periodistas para investigar asuntos de interés de inteligencia para el régimen de la RPDC, apuntando a organizaciones europeas. Algunos de estos mensajes de búsqueda de información no contienen cargas útiles y simplemente están destinados a establecer una relación, pero otros tienen documentos cargados de malware o enlaces en forma de cuestionario de noticias para enviar a los atacantes”, dijo Barnhart.
“Hemos visto a APT43 tener un gran éxito con estos correos electrónicos de reporteros falsos, generando altas tasas de éxito al obtener una respuesta de los objetivos. Esto sirve como un recordatorio para verificar las direcciones e identidades de las personas con las que está hablando”.
APT43 despliega correos electrónicos de phishing y tácticas de ingeniería social para comprometer a sus víctimas, y no parece estar activamente interesado en exploits de día cero, dijo Mandiant.
Se ha observado que el grupo crea numerosas personas suplantadas o totalmente fraudulentas que utiliza en la ingeniería social, y sus operativos a menudo se presentan como personas clave en su área objetivo, como diplomáticos de alto perfil o analistas geopolíticos.
“Creemos que Corea del Norte se ha vuelto cada vez más dependiente de sus capacidades cibernéticas, y las operaciones persistentes y en continuo desarrollo de APT43 reflejan la inversión sostenida y la dependencia del país en grupos como APT43”.
Investigadores mandantes
Utiliza información de identificación personal (PII) robada de dichas personas para crear cuentas y dominios convincentes para engañar a sus objetivos.
También crea identidades de cobertura para comprar herramientas operativas e infraestructura de TI para sus pagadores.
Donde sí usa malware, se ha observado que APT43 usa un conjunto de herramientas relativamente grande de herramientas disponibles públicamente, que incluyen gh0st RAT, QUASARRAT, AMADEY y la puerta trasera LATEOP VisualBasic, pero también se ha visto que desarrolla sus propias variantes internamente, en particular un Android- variante del programa de descarga basado en Windows PENCILDOWN.
En última instancia, el objetivo de APT43 parece ser usar la criptomoneda que roba para comprar servicios de alquiler de hash y minería en la nube para proporcionar poder de hash, que luego usa para extraer criptomonedas en una billetera seleccionada por él mismo sin ninguna asociación basada en blockchain a sus pagos originales. Efectivamente, lava criptomonedas mediante el uso de fondos robados para crear fondos limpios.
Mandiant dijo que el grupo era claramente autosuficiente y capaz de financiar sus propias operaciones, y que salvo un cambio drástico en las prioridades de Corea del Norte, o la caída de su régimen, seguiría siendo prolífico en la realización de campañas de espionaje y actividades motivadas financieramente en apoyo de sus metas
“Creemos que Corea del Norte se ha vuelto cada vez más dependiente de sus capacidades cibernéticas, y las operaciones persistentes y en continuo desarrollo de APT43 reflejan la inversión sostenida del país y dependencia de grupos como APT43”, concluyó el equipo de investigación.
“Como lo demuestra el cambio repentino pero temporal del grupo hacia la atención médica y farmacéutica, APT43 responde muy bien a las demandas del liderazgo de Pyongyang.
“Aunque el spear-phishing y la recopilación de credenciales contra el gobierno, las fuerzas armadas y las organizaciones diplomáticas han sido tareas centrales para el grupo, APT43 finalmente modifica sus objetivos y tácticas, técnicas y procedimientos para satisfacer a sus patrocinadores, incluida la realización de delitos cibernéticos con fines financieros según sea necesario para apoyar al régimen”, agregaron.
Puede descargar más información sobre APT43, incluidos los indicadores de compromiso (IoC), aquí.
