Poco se sabe del régimen de Corea del Norte, un país muy hermético del que casi no se tiene noticias. Recientemente, Proofpoint ha estado analizando los movimientos del grupo de ciberdelincuentes TA444 originario de ese país, llegando a la conclusión de que se encargan de realizar ataques para financiar al régimen, tal y como hemos leído en Opensecurity. Aquí han visto como su forma de operar ha cambiado, ya que antes atacaban a los bancos para conseguir dinero y ahora se han centrado en el mundo de las criptomonedas.
En sus inicios con blockchain y criptodivisas, el TA444 tenía dos principales vías de acceso: una cadena de suministro orientada a archivos LNK y una cadena que comenzaba con documentos que utilizaban plantillas remotas. Estas campañas solían denominarse DangerousPassword, CryptoCore o SnatchCrypto. Durante 2022, este grupo siguió utilizando ambos métodos, pero también probó otros tipos de archivos que no había utilizado anteriormente. De hecho, parecía ser un reflejo del panorama de ciberataques de ese momento, imitando procedimientos de otros ciberdelincuentes que intentaban encontrar maneras alternativas de introducir sus payloads.
Este grupo llama la atención por comportarse de manera similar a una startup tecnológica, haciendo pruebas de “productos” para ver qué funciona y qué no, y poder desarrollarlos y mejorarlos. Cuando otros ciberatacantes con orientación financiera prueban métodos de entrega, tienden a cargar sus payloads tradicionales, pero este no es el caso del TA444. Esto sugiere que existe un elemento de desarrollo de malware intrínseco en sus acciones.
Para aumentar sus probabilidades de éxito, tienen una completa estrategia de marketing enfocada a convencer a las víctimas de que hagan clic en enlaces maliciosos. Primero, elaboran contenido señuelo que pueda ser de interés para el objetivo, como análisis de blockchains de criptomonedas, ofertas de trabajo en compañías prestigiosas o ajustes salariales. Después, continuando con las similitudes con una startup, utilizan herramientas de email marketing como SendInBlue y SendGrid para interactuar con su público objetivo. Estos emails sirven para redireccionar archivos alojados en la nube o conectar a la víctima directamente a la infraestructura del TA444. Además, el uso de estos enlaces elimina la posible reticencia de muchos usuarios a hacer clic en un enlace desconocido, ya que los enlaces de estas plataformas no parecen sospechosos.
Las redes sociales son también un elemento fundamental de las tácticas del TA444, ya que utilizan habitualmente LinkedIn para interactuar con el objetivo antes de entregarle enlaces con malware. Proofpoint ha observado que este grupo puede comunicarse en inglés, español, polaco y japonés.
Este grupo de ciberdelincuentes es capaz de defraudar a sus víctimas cientos de millones de euros. Se estima que el TA444 y los clústeres relacionados robaron casi 400 millones de euros en criptomonedas y activos relacionados en 2021. En 2022, el grupo superó ese valor con un solo ataque en el que consiguieron alrededor de 500 millones de euros, reuniendo más de mil millones durante todo el año. Corea del Norte, al igual que otros entusiastas del mundo cripto, ha capeado la pérdida de valor de las criptomonedas, y sigue utilizándolas como vehículo para conseguir fondos para el régimen.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure