Los hackers norcoreanos han lanzado una nueva campaña de ciberataques dirigida a organizaciones de medios y expertos de alto perfil en asuntos relacionados con Corea del Norte. El objetivo de esta campaña es infectar los dispositivos de las víctimas con un malware llamado RokRAT, que les permite espiar y robar información confidencial.
Las organizaciones de medios y expertos de alto perfil en asuntos de Corea del Norte han sido blanco de una nueva campaña de ciberataques en diciembre de 2023, llevada a cabo por un actor de amenazas conocido por su actividad previa. Este actor ha estado utilizando nuevas técnicas de infección, incluyendo la utilización de un informe técnico de investigación de amenazas como señuelo, dirigido principalmente a profesionales de ciberseguridad y personas interesadas en inteligencia de amenazas.
El actor de amenazas en cuestión, que ha sido vinculado previamente con Corea del Norte y conocido por varios nombres, se cree que opera bajo el Ministerio de Seguridad del Estado (MSS), diferenciándose de otros grupos como el Grupo Lazarus y Kimsuky, que están relacionados con la Oficina General de Reconocimiento (RGB). Este grupo ha sido conocido por llevar a cabo ataques dirigidos contra gobiernos y desertores, utilizando tácticas de phishing para distribuir malware y recopilar información encubierta en beneficio de los intereses de Corea del Norte.
Te podrá interesar leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
En agosto de 2023, este grupo se asoció con otro actor de amenazas en un ataque a una empresa rusa de ingeniería de misiles, con el propósito de beneficiar su controvertido programa de misiles. Además, en respuesta a ejercicios militares realizados por Estados Unidos, Corea del Sur y Japón, Corea del Norte informó sobre una prueba de su "sistema de armas nucleares submarinas" a principios de esta semana, lo que añadió tensión a la situación.
La última serie de ataques observada por investigadores tenía como objetivo a expertos en asuntos de Corea del Norte, haciéndose pasar por miembros de una institución de investigación. Los destinatarios eran instados a abrir un archivo ZIP que contenía materiales de presentación. Aunque la mayoría de los archivos eran inofensivos, dos de ellos contenían malware, lo que reveló una secuencia de infección previamente descubierta en mayo de 2023 para distribuir la puerta trasera RokRAT.
La investigación también encontró evidencia de malware adicional y variantes de shellcode que entregan RokRAT, lo que sugiere que el actor de amenazas estaba probando y planificando sus acciones. Aunque el archivo de acceso directo simplemente abría una aplicación legítima, el código shell ejecutado allanaba el camino para la implementación de RokRAT, indicando un posible uso futuro en campañas.
Ambos archivos LNK utilizaban un informe de inteligencia de amenazas legítimo como señuelo, publicado por una empresa surcoreana de ciberseguridad en octubre de 2023, lo que sugiere un intento de ampliar la lista de objetivos. Esto plantea la posibilidad de que el actor esté buscando recopilar información para perfeccionar sus tácticas y también para suplantar la identidad de profesionales de ciberseguridad con el fin de infiltrarse en objetivos específicos.
Este desarrollo indica que el grupo de hackers del Estado-nación está adaptando activamente sus métodos para evadir la detección, en respuesta a la exposición pública de sus tácticas y técnicas. Los investigadores advierten que el objetivo final del actor parece ser la adquisición de inteligencia estratégica, posiblemente relacionada con estrategias de defensa e inteligencia de amenazas cibernéticas privadas, con el fin de comprender mejor cómo se perciben los acontecimientos en Corea del Norte a nivel internacional y contribuir a las decisiones del país.
Conoce más sobre: Hacktivismo en la Era Moderna: Una Mirada al Paisaje Cambiante
RokRAT es un malware muy peligroso y difícil de detectar, que puede causar graves daños a los dispositivos y a la información de las víctimas. Por eso, es importante tomar medidas para prevenir y mitigar los riesgos de sufrir este tipo de ataques. Algunas de estas medidas son:
La amenaza de los hackers norcoreanos utilizando herramientas de seguridad falsas es un recordatorio de la constante evolución de las tácticas cibernéticas. Mantenerse informado, verificar las fuentes y utilizar software de confianza son pasos clave para protegerse. La ciberseguridad es una responsabilidad compartida, y la vigilancia es el mejor escudo contra estas amenazas emergentes.