La firma SentinelLabs ha advertido de que existe un grupo de amenazas persistentes avanzadas (APT) de origen norcoreano que está llevando a cabo una operación de ingeniería social y phishing dirigida a expertos en asuntos de Corea del Norte del sector no gubernamental.
El grupo de piratas informáticos, conocido como Kimsuky, Thallium o Velvet Chollima (o APT43), se ha hecho pasar por periodistas, escritores y académicos.
Según se hace eco GBHackers, llevaría operando desde 2012. Su misión es recopilar inteligencia de un grupo de expertos, instituciones académicas y organizaciones de medios.
Estos actores de amenazas, cuyas actividades están alineadas con las del gobierno norcoreano, realizan sus ataques de phishing mediante el empleo de cuentas de email que se parecen mucho a las de personas reales y creando contenidos realistas y convincentes.
Los piratas de Kimsuky suelen hacerse pasar por periodistas y escritores para hacer consultas sobre los últimos acontecimientos en la península de Corea, el programa de armas de Corea del Norte, las conversaciones con EE.UU, la postura de China y otros asuntos.
Los cibermalos han llegado a hacer consultas simples, realizar encuestas, pedir entrevistas o solicitar informes o documentos.
Para ganarse la confianza de los destinatarios en los primeros correos solo mantienen una conversación, no introducen malware ni archivos adjuntos. Si no obtienen respuesta, insisten en unos días con otro mensaje.
Otros ataques
Kimsuky sería responsable de diversos ataques. Usaron documentos de Microsoft Office para incluir el malware ReconShark, capaz de fltrar información y 'chivar' qué sistemas de detección tiene activos un dispositivo o dar datos sobre el dispositivo en sí.
El intento de ingeniería social más reciente de Kimsuky estuvo dirigido a los suscriptores de NK News, un sitio web estadounidense basado en suscripción que ofrece noticias y comentarios sobre Corea del Norte. El grupo envió emails pidiendo a los destinatarios que se registraran en un servicio de suscripción falso de NK.
Al obtener acceso obtendrían "información valiosa sobre cómo la comunidad internacional evalúa e interpreta los desarrollos relacionados con Corea del Norte, lo que contribuye a sus iniciativas estratégicas más amplias de recopilación de inteligencia", subraya SentinelLabs .