Los hackers norcoreanos atacan a Occidente de una nueva manera: usando los servicios JSON

Desde hace, por lo menos, una década, los servicios de inteligencia de todo el mundo coinciden en que Corea del Norte ya no solo libra conflictos diplomáticos o militares, sino que ahora también lo hace en el ciberespacio, donde claramente ha ganado terreno. Dentro de los más conocidos estarían grupos como Lazarus o Kimsuky, ambos respaldados por el régimen de Pyongyang, quienes han desarrollado todo un ecosistema de espionaje, robo y sabotaje digital que mezcla las tácticas más básicas con las más sofisticadas.

Desde luego que conforme avanza el desarrollo tecnológico, estos grupos también evolucionan de forma preocupante: ahora también emplean IA para perfeccionar sus actos. En 2024, Lazarus suplantó capitalistas de riesgo y candidatos de empleo para contactar por videollamada a ejecutivos del sector cripto e instalar malware desde ahí. Por otro lado, recientemente se supo que Kimsuky empleó la IA generativa para crear un deepfake de una identificación militar para hacer más creíbles sus ataques de phishing en Corea del Sur.

El turno ahora le ha correspondido de nuevo a Lazarus, que vuelve a demostrar por qué se le considera uno de los actores más peligrosos del panorama digital global. Su campaña más reciente, "Contagious Interview", utiliza servicios JSON legítimos como JSON Keeper, JSON Silo o npoint.io para ocultar malware entre tráfico web habitual y evitar ser detectados, de acuerdo con un informe de la empresa de ciberseguridad NVISIO.

Su modus operandi va del uso de perfiles falsos de LinkedIn que se hacen pasar por reclutadores o ejecutivos para ganarse la confianza de la víctima, después de lo cual proceden a enviar un supuesto proyecto alojado en GitHub, GitLab o Bitbucket (plataformas de desarrollo colaborativo de software) donde se incluye BeaverTail, un ladrón de información; InvisibleFerret, un malware escrito en lenguaje de programación Phyton; y TsunamiKit, un módulo capaz de robar datos y ejecutar minería ilegal de Monero.

La amenaza pasa de la rutina digital a la alarma global

Con el tiempo, Lazarus ha perfeccionado su capacidad de inflirtrarse en la rutina digital de empresas y desarrolladores occidentales, cuestión que ha logrado en buena medida con sus últimos movimientos. Aquí, a su vez, ha mostrado que su fortaleza más grande es el sigilo: al usar servicios y repositorios muy comunes en el desarrollo web, como JSON y APIs legítimas, los atacantes camuflan malwares entre operaciones normales, lo que evita que los sistemas de seguridad detecten la amenaza.

Los objetivos de sus ataques suelen ser ingenieros o desarrolladores con acceso a información sensible, pero a causa de la sofisticación de estos ataques, que combina espionaje, robo de datos y minería ilegal de criptodivisas, una de las técnicas ya conocidas de Lazarus, no les ha sido fácil detectarlos.

Por último, historiales como el ataque a Sony Pictures en 2014 o los robos a plataformas de intercambio de criptomonedas han evidenciado que sus operaciones, no solo buscan mantener una presencia persistente, sino que también buscan generar ingresos ilícitos más allá del sabotaje inmediato, lo que ha causado una alarma generalizada entre expertos del sector informático.