Skip to main content

APT45: La máquina militar digital de Corea del Norte

julio 26, 2024


Cambios en la focalización y expansión de operaciones

Al igual que otras actividades de ciberamenazas atribuidas a grupos vinculados con Corea del Norte, los cambios en las operaciones de APT45 han reflejado las prioridades cambiantes de la RPDC. Las muestras de malware indican que el grupo estuvo activo ya en 2009, aunque a partir de 2017 se observó un enfoque observado en agencias gubernamentales y la industria de defensa. La actividad identificada en 2019 se alineó con el continuo interés de Pyongyang en cuestiones nucleares y energéticas. Aunque no está claro si las operaciones con motivaciones financieras son un foco del mandato actual de APT45, el grupo se distingue de otros operadores norcoreanos en su presunto interés en el ransomware. Dada la información disponible, es posible que APT45 esté llevando a cabo delitos cibernéticos con motivaciones financieras no solo en apoyo de sus propias operaciones, sino también para generar fondos para otras prioridades estatales de Corea del Norte.

Sector financiero

Al igual que otros actores relacionados con Corea del Norte, los ataques de APT45 incluyen al sector financiero. En 2016, APT45 probablemente utilizó RIFLE para atacar a una organización financiera surcoreana. Los ataques directos continuaron al menos hasta 2021, cuando se identificó al grupo realizando ataques de phishing selectivo contra un banco del sur de Asia.

Infraestructura crítica

En 2019, APT45 atacó directamente instalaciones de investigación nuclear y plantas de energía nuclear como la planta de energía nuclear de Kudankulam en India, lo que marca uno de los pocos casos públicamente conocidos de operaciones cibernéticas de Corea del Norte dirigidas a infraestructura crítica.

Robo de propiedad intelectual para solucionar deficiencias internas

En septiembre de 2020, APT45 atacó la división de ciencia de cultivos de una corporación multinacional, posiblemente debido a la exacerbación del deterioro de la producción agrícola tras el cierre del comercio fronterizo relacionado con los temores de contagio de COVID-19.

Varios operadores del nexo con Corea del Norte, incluido APT45, se centraron en los sectores sanitario y farmacéutico durante un presunto brote de COVID-19 en Corea del Norte en 2021.

La actividad observada desde APT45, que indica un interés continuo en la investigación relacionada con la salud en 2023, sugiere la asignación continua de recursos a la orientación relacionada.

Posible uso de ransomware

Mandiant rastrea varios grupos de actividad en los que sospechamos, pero no podemos confirmar, la atribución de APT45. Los informes públicos han afirmado que estos grupos han utilizado ransomware, posiblemente para financiar sus operaciones o generar ingresos para el régimen. Si bien Mandiant no puede confirmar este uso de ransomware por parte de APT45, es plausible ya que han empleado diversos esquemas para recaudar dinero.

  • En 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. reportado sobre el uso de MAUI por parte de actores patrocinados por el estado norcoreano ransomware destinado a atacar los sectores de la salud y la salud pública.
  • En 2021, Kaspersky reportado sobre la identificación del ransomware rastreado por Mandiant como SHATTEREDGLASS, que ha sido utilizado por presuntos clústeres APT45.



Source link

Translate »