Corea del Norte: ¿el ciberataque definitivo? Malware evasivo y Blockchain en el punto de mira.
Según Cisco Talos y Google, los grupos norcoreanos Famous Chollima y UNC5342 están empleando nuevas cepas de malware descentralizado (como EtherHiding y el par BeaverTail/OtterCookie)
Actores de amenazas vinculados a Corea del Norte están intensificando sus operaciones cibernéticas, utilizando herramientas de malware descentralizadas y evasivas, según los nuevos hallazgos de Cisco Talos y Google Threat Intelligence Group.
Las campañas tienen como objetivo robar criptomonedas, infiltrarse en las redes y evadir los controles de seguridad a través de sofisticadas estafas de reclutamiento.
La evolución de las técnicas de malware para la evasión
Los investigadores de Cisco Talos identificaron una campaña en curso del grupo norcoreano Famous Chollima, que utilizaba dos cepas de malware complementarias: BeaverTail y OtterCookie.
Estos programas, utilizados tradicionalmente para el robo de credenciales y la exfiltración de datos, han evolucionado para incorporar nuevas funcionalidades y una interacción más estrecha.
En un incidente reciente que afectó a una organización de Sri Lanka, los atacantes engañaron a un solicitante de empleo para que instalara un código malicioso disfrazado de evaluación técnica.
Aunque la organización en sí no era un objetivo directo, los analistas de Cisco Talos observaron un módulo de keylogging y captura de pantalla vinculado a OtterCookie. Este módulo registraba de forma encubierta las pulsaciones del teclado y capturaba imágenes del escritorio, transmitiéndolas automáticamente a un servidor de comandos remoto.
Esta observación subraya la continua evolución de los grupos de amenazas alineados con Corea del Norte y su enfoque en técnicas de ingeniería social para comprometer a objetivos desprevenidos.
Blockchain utilizado como infraestructura de comando
El Grupo de Inteligencia de Amenazas de Google (GTIG) identificó una operación del actor vinculado a Corea del Norte, UNC5342. El grupo utilizó un nuevo malware llamado EtherHiding.
Esta herramienta oculta cargas maliciosas de JavaScript en una cadena de bloques pública, transformándola en una red descentralizada de mando y control (C2).
Utilizando la cadena de bloques, los atacantes pueden modificar a distancia el comportamiento del malware sin recurrir a los servidores tradicionales. En consecuencia, las acciones de las fuerzas de seguridad se vuelven mucho más difíciles.
Además, GTIG informó que UNC5342 aplicó EtherHiding en una campaña de ingeniería social llamada Contagious Interview, previamente identificada por Palo Alto Networks, lo que demuestra la persistencia de los actores de amenazas alineados con Corea del Norte.
Destinatarios: profesionales del sector criptográfico
Según los investigadores de Google, estas ciberoperaciones suelen comenzar con anuncios de empleo fraudulentos dirigidos a profesionales de los sectores de la criptomoneda y la ciberseguridad.
Se invita a las víctimas a participar en falsas evaluaciones, durante las cuales se les pide que descarguen archivos que contienen código malicioso.
¿Qué es EtherHiding? Es una novedosa técnica en la que los atacantes incrustan cargas útiles maliciosas (como el malware JADESNOW e INVISIBLEFERRET) dentro de contratos inteligentes en blockchains públicas (como BNB Smart Chain y Ethereum). https://t.co/AyKeSuPyWWpic.twitter.com/we4NV2PTu5
En el proceso de infección suelen intervenir varias familias de malware, como JadeSnow, BeaverTail e InvisibleFerret. Juntas, estas herramientas permiten a los atacantes acceder a los sistemas, robar credenciales y desplegar ransomware de forma eficaz. Sus objetivos finales van desde el espionaje y el robo financiero hasta la infiltración en la red a largo plazo.
Cisco y Google han publicado Indicadores de Compromiso (IOC) para ayudar a las organizaciones a detectar y responder a las ciberamenazas en curso vinculadas a Corea del Norte. Los investigadores advierten de que la integración de blockchain y el malware modular probablemente seguirán complicando los esfuerzos de defensa de la ciberseguridad global.
Un ataque de "menta infinita" afectó al yETH de Yearn Finance, vaciando 2,8 millones de los fondos del Balancer y desencadenando una reacción anormal del mercado sobre el token YFI.
Upbit suspende los depósitos y retiradas tras un ataque hacker que malversó 32 millones en tokens Solana, provocando fuertes primas en el mercado coreano.
Actores de amenazas vinculados a Corea del Norte están intensificando sus operaciones cibernéticas, utilizando herramientas de malware descentralizadas y evasivas, según los nuevos hallazgos de Cisco Talos y Google Threat Intelligence Group.
Las campañas tienen como objetivo robar criptomonedas, infiltrarse en las redes y evadir los controles de seguridad a través de sofisticadas estafas de reclutamiento.
La evolución de las técnicas de malware para la evasión
Los investigadores de Cisco Talos identificaron una campaña en curso del grupo norcoreano Famous Chollima, que utilizaba dos cepas de malware complementarias: BeaverTail y OtterCookie.
Estos programas, utilizados tradicionalmente para el robo de credenciales y la exfiltración de datos, han evolucionado para incorporar nuevas funcionalidades y una interacción más estrecha.
En un incidente reciente que afectó a una organización de Sri Lanka, los atacantes engañaron a un solicitante de empleo para que instalara un código malicioso disfrazado de evaluación técnica.
Aunque la organización en sí no era un objetivo directo, los analistas de Cisco Talos observaron un módulo de keylogging y captura de pantalla vinculado a OtterCookie. Este módulo registraba de forma encubierta las pulsaciones del teclado y capturaba imágenes del escritorio, transmitiéndolas automáticamente a un servidor de comandos remoto.
Esta observación subraya la continua evolución de los grupos de amenazas alineados con Corea del Norte y su enfoque en técnicas de ingeniería social para comprometer a objetivos desprevenidos.
Blockchain utilizado como infraestructura de comando
El Grupo de Inteligencia de Amenazas de Google (GTIG) identificó una operación del actor vinculado a Corea del Norte, UNC5342. El grupo utilizó un nuevo malware llamado EtherHiding.
Esta herramienta oculta cargas maliciosas de JavaScript en una cadena de bloques pública, transformándola en una red descentralizada de mando y control (C2).
Utilizando la cadena de bloques, los atacantes pueden modificar a distancia el comportamiento del malware sin recurrir a los servidores tradicionales. En consecuencia, las acciones de las fuerzas de seguridad se vuelven mucho más difíciles.
Además, GTIG informó que UNC5342 aplicó EtherHiding en una campaña de ingeniería social llamada Contagious Interview, previamente identificada por Palo Alto Networks, lo que demuestra la persistencia de los actores de amenazas alineados con Corea del Norte.
Destinatarios: profesionales del sector criptográfico
Según los investigadores de Google, estas ciberoperaciones suelen comenzar con anuncios de empleo fraudulentos dirigidos a profesionales de los sectores de la criptomoneda y la ciberseguridad.
Se invita a las víctimas a participar en falsas evaluaciones, durante las cuales se les pide que descarguen archivos que contienen código malicioso.
En el proceso de infección suelen intervenir varias familias de malware, como JadeSnow, BeaverTail e InvisibleFerret. Juntas, estas herramientas permiten a los atacantes acceder a los sistemas, robar credenciales y desplegar ransomware de forma eficaz. Sus objetivos finales van desde el espionaje y el robo financiero hasta la infiltración en la red a largo plazo.
Cisco y Google han publicado Indicadores de Compromiso (IOC) para ayudar a las organizaciones a detectar y responder a las ciberamenazas en curso vinculadas a Corea del Norte. Los investigadores advierten de que la integración de blockchain y el malware modular probablemente seguirán complicando los esfuerzos de defensa de la ciberseguridad global.
Seguir leyendo
Exploit en Yearn Finance: ataque de 2,8 millones de yETH
Un ataque de "menta infinita" afectó al yETH de Yearn Finance, vaciando 2,8 millones de los fondos del Balancer y desencadenando una reacción anormal del mercado sobre el token YFI.
32 Millones Upbit Hack: ¡Token Solana a Estrellas en el Mercado Coreano!
Upbit suspende los depósitos y retiradas tras un ataque hacker que malversó 32 millones en tokens Solana, provocando fuertes primas en el mercado coreano.
Robo de criptomonedas en el Reino Unido: condenas y riesgo de autocustodia
Un robo de más de 4,3 millones en criptomonedas en el Reino Unido pone en entredicho la seguridad de la autocustodia y los riesgos del factor humano.
Enfrentamiento de criptomonedas: Pekín culpa a EE.UU. de la explotación de 127.000 BTC de Bitcoin por LuBian
China acusa a Washington de 'drenar' 127.000 BTC de LuBian en 2020. Los investigadores vinculan el exploit a un fallo en la generación de claves.