Una unidad de espionaje de Corea del Norte sospechosa de hacerse pasar por periodistas y falsificar cuentas de LinkedIn para recopilar inteligencia está utilizando una forma novedosa de financiar sus operaciones internacionales de piratería: alquilar energía basada en la nube para extraer criptomonedas.
El uso de la llamada minería en la nube para alquilar el poder de procesamiento de la criptominería parece ser una forma en que el grupo evita tecnologías como los mezcladores, que han sido objeto de un mayor escrutinio policial, según un informe publicado hoy por la firma de ciberseguridad Mandiant, que es parte de Google podría. El proceso de minería en la nube es una forma para que el sindicato de piratería recientemente identificado, que Mandiant denominó APT 43, produzca bitcoins limpios sin conexiones basadas en blockchain para que las fuerzas del orden las rastreen.
A diferencia de otras unidades de piratería de Corea del Norte involucradas en delitos cibernéticos relacionados con criptomonedas, los investigadores de Mandiant creen que APT 43 está utilizando su botín para financiar sus propias actividades de piratería y ciberespionaje, y no devolviéndolo al régimen para un programa de armas nucleares. En cambio, el grupo toma los fondos limpios para comprar infraestructura, como dominios de sitios world wide web, para realizar más actividades de espionaje.
“No necesitan 100 millones de dólares para alquilar servidores para ejecutar nodos C2. Necesitan cantidades mucho más pequeñas”, dijo Joe Dobson, analista principal de Mandiant. “Los vemos apuntando a todos. Me gusta decir: ‘No hay pez demasiado pequeño’. Si alguien tiene fondos en su billetera criptográfica, será atacado».
Las operaciones del grupo son un marcado contraste con los robos criptográficos masivos llevados a cabo por otro actor de amenazas de Corea del Norte, el grupo Lazarus, al que los funcionarios encargados de hacer cumplir la ley de EE. UU. Acusaron de robar $ 100 millones del puente Harmony’s Horizon el año pasado.
Los piratas informáticos norcoreanos motivados financieramente también se están volviendo más agresivos, señalan otras empresas. Los investigadores de la empresa de seguridad cibernética Proofpoint informaron un aumento en los correos electrónicos de phishing relacionados con Corea del Norte de otro grupo de piratas informáticos afiliados al estado con superposiciones con el grupo Lazarus. Dobson dice que, según el volumen de ataques, lo más possible es que APT 43 haya automatizado aspectos de sus campañas. Mandiant ha rastreado más de 10 millones Estafas de phishing relacionadas con NFT (tokens no fungibles) entregadas con éxito a usuarios de criptomonedas desde 2022, y la mayoría de ellas están vinculadas a APT 43.
«Creo que, en standard, estamos viendo más grupos de actividades de amenazas relacionadas con la RPDC hacia las criptomonedas», dijo Dobson. “Ven que están teniendo éxito. Entonces, ya sea que eso signifique para la generación de ingresos o para el estado de la financiación operativa, continuarán expandiéndose y moviéndose más hacia la criptografía».
El método de ataque más común de APT 43 es el uso de correos electrónicos de phishing personalizado para obtener acceso a la información de sus víctimas. El grupo también utiliza sitios web falsificados diseñados para robar credenciales. La construcción de personas en perfiles falsos de LinkedIn y otras plataformas también se ha convertido en un sello distintivo del espionaje en línea de Corea del Norte.
El grupo aprovecha los datos robados y los dominios falsificados para hacerse pasar por personas clave para ganarse la confianza de sus objetivos, dijo Mandiant en su informe. Por ejemplo, en un caso que observaron los investigadores, un atacante se hizo pasar por un periodista de Voice of The us para pedir directamente a un experto información sobre las relaciones diplomáticas con Corea del Norte. Los piratas informáticos han desarrollado métodos para engañar a las víctimas para que respondan, incluida la respuesta a sus propios mensajes para crear la apariencia de una conversación.
“Hemos visto en algún lugar que responden a sus propios mensajes varias veces para que quien van tras los pensamientos de que llegaron tarde a la fiesta y que bajaron la guardia”, dijo Michael Barnhart, analista principal de Mandiant en Google Cloud.
Como unidad asignada al espionaje, el objetivo de APT 43 cambia en respuesta a las prioridades del régimen. Por ejemplo, durante la pandemia, cambió el enfoque hacia la atención de la salud y la orientación relacionada con productos farmacéuticos. Sin embargo, a fines de 2021, volvió a enfocarse en grupos involucrados en las relaciones diplomáticas entre Corea del Norte, Corea del Sur y Japón, como universidades y ONG. A mediados de 2022, las campañas cambiaron para dirigirse a blogueros y usuarios de redes sociales de Corea del Sur “asociados con asuntos de Corea del Sur, derechos humanos, académicos, religión y criptomonedas”.
APT 43 también ha colaborado con otros actores de espionaje de Corea del Norte asociados con el gobierno de Corea del Norte, «subrayando el papel principal de los polos APT43 en el aparato cibernético del régimen», dicen los investigadores.
Barnhart enfatizó que el enfoque de APT43 en el programa de armas nucleares de Corea del Norte en sus operaciones de espionaje significa que “este es el momento de prestar atención a este actor”.