El grupo norcoreano TA406 busca inteligencia estratégica y política en Ucrania

Proofpoint ha publicado un estudio según el cual el grupo de ciberdelincuencia TA406, que se considera patrocinado por Corea del Norte ha lanzado una acción para lograr información estratégica y política de Ucrania. La compañía ha detectado un movimiento de este grupo para recolectar credenciales y distribuir malware en entidades gubernamentales ucranianas mediante campañas de phishing.

En los mensajes, centrados “en gran medida en los acontecimientos recientes de la política nacional ucraniana”, se hacen pasar por miembros de think tanks. Suelen utilizar HTML y CHM para ejecutar PowerShell incrustado en sus campañas. En uno de los ejemplos que pone Prrofpoint, se envió un enlace al sistema de almacenamiento MEGA para descargar un RAR protegido con contraseña. “Al ejecutarlo, se iniciaba una cadena de infección hasta realizar un amplio reconocimiento en el host de destino”.

Otra táctica consiste en enviar mensajes falsos de alerta de seguridad de Microsoft, enviado a entidades gubernamentales desde cuentas de Proton Mail. En los mensajes se avisaba de un inicio de sesión inusual, solicitando a la víctima que verificara ese intento de inicio con un enlace que llevaba a un dominio comprometido. La compañía señala que TA406 busca recopilar inteligencia estratégica y política.

Los expertos de Proofpoint indican que, “con estas acciones maliciosas, TA406 podría estar evaluando las perspectivas a medio plazo del conflicto por la invasión rusa de Ucrania. Corea del Norte se comprometió a enviar tropas para ayudar a Rusia en otoño de 2024, por lo que es muy probable que esté recopilando inteligencia para determinar el riesgo actual para las fuerzas norcoreanas que ya se encuentren en dichas operaciones, así como la probabilidad de que Rusia solicite más tropas o armamento”.