Hackers norcoreanos están suplantando identidades para infectar con malware

El fin último de este grupo de amenazas persistentes avanzadas es obtener inteligencia sobre EE.UU. y Corea del Sur.

Alberto Payo

Periodista

Guardar

Hackers norcoreanos
Hackers norcoreanos

El equipo de investigación de la frma de ciberseguridad y cumplimiento normativo Proofpoint ha advertido sobre una campaña de ciberespionaje en curso llevada a cabo por un grupo de amenazas persistentes avanzadas patrocinado por Corea del Norte

A estos hackers se les conoce como TA427,  APT43 o con los sobrenombres de Emerald Sleet,  THALLIUM o Kimsuky

Estos actores de amenazas llevarían desde el pasando mes de diciembre tratando de hacerse pasar por el personal de organizaciones que no habían aplicado políticas de DMARC y convencer a las víctimas de que las interacciones eran de carácter legítimo. 

Hay que destacar el dominio del inglés de TA427 en sus emails y su maestría a la hora de utilizar señuelos y contenidos diseñados especialmente para ser relevantes según la experiencia particular de cada objetivo. 

El objetivo último de este grupo de piratas informáticos es recopilar inteligencia estratégica en nombre del régimen norcoreano sobre política exterior de EE.UU. y Corea del Sur.

Unos cibermalos pacientes

Proofpoint asegura que estos ciberdelincuentes se suelen involucrar durante semanas o meses en el intercambio de mensajes benignos para ganarse la confianza de los destinatarios y, posteriormente, infectar a organizaciones específicas con malware del tipo RandomQuery o ReconShark.

“DMARC es un protocolo de autenticación de correo electrónico que proporciona protección a nivel de dominio de este canal y, de no tenerlo implementado, cualquier remitente puede validarse como perteneciente a una entidad”, explican los expertos sobre amenazas de Proofpoint. 

“El grupo de ciberdelincuencia TA427 utiliza direcciones de correo gratuitas para dirigir mensajes a cuentas tanto personales como corporativas, continuando la misma línea de conversación entre ambas. Ante esto, además de DMARC, se recomienda siempre verificar los campos ‘responder a’ y ‘de’ en emails de todos los remitentes (incluso conocidos) y agregar direcciones confirmadas a listas de contactos, ya que ayuda a identificar correos falsificados”, concluye la compañía.