Proseguono i tentativi da parte degli APT nordcoreani di rubare informazioni ai ricercatori di sicurezza informatica. Ricercatori del Threat Analysis Group (TAG) di Google hanno individuato una nuova campagna condotta da attori minacciosi affiliati alla Corea del Nord, la quale mira proprio ai ricercatori per la sicurezza informatica. La scoperta è stata possibile grazie ai punti in comune con campagne precedenti monitorate dal TAG. In questa occasione, gli attaccanti utilizzano un bug zero-day in un software non specificato per infiltrarsi nelle macchine delle vittime.
L’approccio degli attaccanti è un sofisticato esercizio di ingegneria sociale: creano account falsi su piattaforme di social media come X e Mastodon, che vengono utilizzati per stabilire relazioni con potenziali obiettivi. Queste interazioni preparatorie, che possono durare anche diversi mesi, hanno l’obiettivo di conquistare la fiducia delle vittime e spesso si incentrano sulla collaborazione su argomenti di reciproco interesse su repository di GitHub. Successivamente, la conversazione viene spostata su app di messaggistica crittografata come Signal, WhatsApp o Wire.
Attraverso questi canali, gli APT nordcoreani condividono un file dannoso che include almeno un exploit zero-day in un pacchetto software. Una volta analizzato, gli esperti hanno scoperto che il payload esegue una serie di controlli e trasmette le informazioni raccolte, insieme a uno screenshot, a un server C2 controllato dagli attaccanti. Le vulnerabilità sono state risolte prima della pubblicazione di questi dettagli.
Questo non è il primo caso in cui gli APT nordcoreani utilizzano l’inganno della collaborazione tra esperti di sicurezza informatica per infettare le vittime. In precedenza, a luglio 2023, GitHub ha sventato una campagna simile, e gli esperti del TAG monitorano queste attività da almeno due anni e mezzo. Inoltre, è stato scoperto uno strumento Windows autonomo chiamato “GetSymbol”, utilizzato come potenziale vettore di infezione secondario dagli attaccanti e ospitato su GitHub.
Gli attaccanti nordcoreani stanno anche utilizzando altri tipi di esche, come file LNK allegati alle email di phishing, al fine di installare una backdoor in grado di raccogliere dati sensibili ed eseguire istruzioni dannose sui sistemi delle vittime.
Oltre ai ricercatori di sicurezza informatica, gli APT nordcoreani hanno preso di mira anche il governo e l’industria della difesa russi. Questo complesso doppio gioco ha portato al supporto della Russia nel conflitto con l’Ucraina da parte della Corea del Nord, ma allo stesso tempo al furto di informazioni finanziato dal governo stesso. Secondo le informazioni rivelate, sia il Lazarus Group che lo ScarCruft hanno violato una società russa di ingegneria missilistica per rubare informazioni.
Le azioni compiute dagli attori minacciosi tra novembre 2022 e gennaio 2023 includono attacchi a un istituto di ricerca aerospaziale in Russia e diversi altri obiettivi in tutto il mondo. Gli esperti ritengono che il governo nordcoreano stia pagando diversi APT contemporaneamente per raggiungere gli obiettivi di raccolta di informazioni imposti dal governo stesso, che sta cercando di potenziare le capacità militari del paese. Le informazioni sottratte ai ricercatori di sicurezza potrebbero agevolare ulteriori attacchi contro nuovi obiettivi.