Primero hablar, luego hackear: el grupo de hackers norcoreano TA427 intenta acercarse de una forma nada espectacular a expertos en política exterior para conocer su posición sobre las sanciones. Mucha información se obtiene con identidades falsas.
Los investigadores de Proofpoint observan numerosos grupos de hackers patrocinados o apoyados por agencias gubernamentales. Uno de ellos es TA427, también conocido como Emerald Sleet, APT43, THALLIUM o Kimsuky. Se trata de un grupo aliado de la República Popular Democrática de Corea (RPDC o Corea del Norte) que apoya a la Oficina General de Reconocimiento. Es particularmente conocido por sus exitosas campañas de phishing por correo electrónico dirigidas a expertos para obtener información sobre política exterior.
Corea del Norte quiere sondear a los expertos
Desde 2023, TA427 ha pasado a utilizar correos electrónicos no intrusivos para dirigirse directamente a expertos en política exterior e iniciar una conversación. En estos correos electrónicos, los atacantes intentan obtener más información sobre opiniones sobre el desarme nuclear, la política estadounidense y coreana y cuestiones de sanciones. En los últimos meses, el grupo ha cambiado su enfoque. En diciembre de 2023, comenzó a explotar la aplicación laxa de autenticación, informes y conformidad de mensajes basados en dominios (DMARC) para falsificar varias identidades. En febrero de 2024, el grupo comenzó a utilizar balizas web para crear perfiles objetivo.
Los expertos de Proofpoint han publicado sus conclusiones en un extenso estudio. Resumieron los resultados más importantes del estudio en puntos:
- TA427 envía periódicamente correos electrónicos aparentemente inofensivos para iniciar una conversación con el objetivo de establecer un intercambio de información a largo plazo con los objetivos del grupo. Los atacantes están tratando de aprender más sobre temas que son de importancia estratégica para el régimen norcoreano.
- Además de utilizar señuelos especialmente creados, TA427 depende en gran medida de identidades falsas vinculadas a grupos de expertos y organizaciones no gubernamentales. Esto tiene como objetivo dar a los correos electrónicos una apariencia legítima y aumentar la probabilidad de que los objetivos se comuniquen con los atacantes.
- Para hacerse pasar por las personas elegidas, TA427 utiliza una variedad de tácticas, incluido el abuso de DMARC junto con bandejas de entrada de correo electrónico gratuitas, typosquatting y suplantación de cuentas de correo electrónico privadas.
- TA427 también utilizó balizas web para localizar inicialmente sus objetivos y obtener información básica, como si una cuenta de correo electrónico está activa.
Sólo el tiempo dirá qué planean hacer los piratas informáticos norcoreanos con sus identidades y contactos falsos.
Más en Proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.