Lazarus Group, los actores de amenazas de estado nación vinculados a Corea del Norte, estaría detrás de una nueva campaña de ciberespionaje que tiene por objetivo robar datos y secretos comerciales de los proveedores de energía de EE.UU., Canadá y Japón.
Desde Cisco Talos ofrecen detalles sobre esta nueva amenaza en una investigación que se acaba de publicar. Según señalan, observaron actividad maliciosa atribuída al grupo entre febrero y julio. Las campañas fueron dirigidas a "múltiples víctimas", según aseguran los investigadores Asheer Malhotra y Vitor Ventura.
Lazarus Group se ha dado a conocer por sus ataques con WannaCry y sus constantes y cuantiosos robos de criptomonedas. Ahora, buscaría ir contra los mercados energéticos de los enemigos de Corea del Norte.
Generalmente el grupo explota las vulnerabilidades de Log4j en VMware Horizon. Tras violar las redes de las empresas energéticas los cibermalos implementan uno o más malwares personalizados.
Los dos primeros implantes son VSingle y YamaBot, según ha podido constatar el CERT de Japón. El primero ejecuta código arbitrario desde una red remota y es capaz de descargar y ejecutar complementos. Por su parte, YamaBot es un implante personalizado escrito en Golang que se comunicad con servidores de comando y control mediante soluciones HTTP, según recoge The Register.
Una nueva técnica
El tercer implante es algo distinto. Se trata de un troyano de acceso remoto (RAT) previamente desconocido que ha sido descubierto por Talos y al que han bautizado como 'MagicRAT'.
"Si bien es una capacidad RAT relativamente simple, se creó con el recurso Qt Framework , con la única intención de hacer que el análisis humano sea más difícil y la detección automatizada a través del aprendizaje automático y la heurística sea menos probable", explican desde la unidad de amenazas de Cisco.
Los expertos también aseguran que, una vez implementado en las máquinas de las víctimas, MagicRAT lanza cargas útiles adicionales, incluyendo escáneres de puertos personalizados. Además, los cibermalos realizan todo tipo de actos maliciosos para apoyar al régimen norcoreano y cosas como robar las credenciales de los empleados y extraer datos.
Lazarus está entre los hackers "más buscados". En julio EE.UU. ofreció una recompensa de 10 millones de dólares a quienes aportaran información relevante sobre grupos de estado nación que apoyaran a Kim Jong-un, incluyendo a este.