CIBERSEGURIDAD

Detectada una campaña de ciberespionaje norcoreana que suplanta identidades para infectar con malware

Según información de la empresa de ciberseguridad, Proofpoint, hay una campaña activa de ciberespionaje liderada por el grupo TA427, respaldado por Corea del Norte.

Existe una nueva campaña de ciberesionaje en Corea del Norte.
Existe una nueva campaña de ciberesionaje en Corea del Norte.UnplashUnplash

Este grupo, conocido como APT43, Emerald Sleet o Kimsuky, busca recopilar inteligencia estratégica referente a la política exterior de EE. UU. y Corea del Sur. Así, el equipo de investigación de amenazas de Proofpoint ha encontrado pistas de lo que es otro caso de estafa virtual desde el país asiático. Lo que se ha vuelto una práctica constante.

Este grupo malicioso inicia sus operaciones investigando qué organizaciones no han aplicado el protocolo DMARC en sus correos oficiales para así suplantar su identidad. Luego, capta a sus víctimas y comienza a interactuar con ellas como si se tratara de correos legítimos y usando la misma forma de comunicación. Ellos incluso pueden mantener el intercambio de correos durante semanas hasta poder infectarlos con malwares como RandomQuery o ReconShark, pero no hay límites para estos grupos.

TA427: Estrategias avanzadas de suplantación de identidad

Gracias a su habilidad con el inglés, TA427, combina mensajes confiables con señuelos personalizados para cada tipo de víctima. Para entender de que va este ‘modus operandi’, por la falta de DMARC, cualquier usuario puede validarse como parte del personal de esas organizaciones. Así, los ciberdelincuentes se infiltran durante semanas, manteniendo conversaciones antes de introducir malware que obtengan los datos que necesitan. No es primera vez que se conoce este tipo de estafas desde Corea del Norte.

Por todo lo anterior, Proofpoint recomienda la implementación de DMARC, ya que es una capa adicional de seguridad que puede evitar este tipo de problemas. Además, advierte que es necesario verificar los campos ‘responder a’ y ‘de’ en correos electrónicos, incluso de remitentes conocidos. Sin duda, este hallazgo podría abrir nuevos debates al respecto de la seguridad en los correos electrónicos. Esto, sumado a las nuevas regulaciones de diferentes tecnologías, podía ayudar a evitar incidentes.

Corea del Norte, uno de los epicentros mundiales de la ciberdelincuencia

Esta investigación, publicada en la red social X, resalta el papel de Corea del Norte como epicentro mundial de la ciberdelincuencia. En el pasado, el país ha sido vinculado a numerosos casos de ciberespionaje y ataques informáticos. La capacidad técnica y el respaldo de su gobierno han permitido a grupos norcoreanos llevar a cabo ataques muy sofisticados. Estos ataques, van desde, el robo de datos hasta la infiltración en sistemas con información crítica, como los que busca esta nueva campaña.

Uno de los ciberataques mediáticos vinculados a Corea del Norte fue el realizado contra Sony Pictures en 2014. El grupo detrás de este incidente fue “Guardians of Peace”, ellos comprometieron la red informática de Sony Pictures y filtraron enormes cantidades de datos confidenciales. Entre los datos expuestos había correos electrónicos, documentos internos y material de películas próximas a estrenar o producirse.

Además, el grupo amenazó con realizar acciones más graves si Sony lanzaba “The Interview”, película que se burlaba del líder norcoreano Kim Jong-un. Este ataque produjo aún más tensiones diplomáticas EE. UU. y Corea del Norte, ya que claramente el objetivo principal fue frenar el estreno del filme. Asimismo, el ciberataque resaltó la capacidad de Corea del Norte de llevar a cabo ataques cibernéticos a gran escala.

No solo se ha tratado de ciberespionaje

En 2016, el Banco de Bangladesh fue el objetivo del grupo identificado como Lazarus, quienes obtuvieron fondos millonarios mediante ataques. En este incidente, que se cree estuvo respaldado por el gobierno norcoreano, se vulneró el sistema de transferencia de fondos del banco. La consecuencia fue robar alrededor de 81 millones de dólares mediante transferencias fraudulentas a través de la red SWIFT. Sin duda, este es otro ataque digital que muestra la habilidad que tienen los grupos delictivos en ese país.

Organizaciones de todo el mundo deben reforzar su seguridad y trabajar de forma articulada

Este caso de ciberespionaje ha llevado a muchos países a tomar medidas de seguridad robustas y a mantener una vigilancia constante. Las empresas globales han tenido que fortalecer sus políticas de autenticación de correo electrónico, siendo la implementación de DMARC una de ellas. Por otro lado, la comunidad internacional debe estar alerta ante la persistente actividad norcoreana, adoptando medidas articuladas para contrarrestarlas y proteger los sistemas digitales.