Una nueva investigación publicada por Google revela que los ciberatacantes tienen como objetivo a empresas energéticas y aeroespaciales en una nueva campaña de espionaje rastreada por Mandiant con UNC2970 con presuntos vínculos con Corea del Norte. Estos piratas informáticos se dirigen a personas que trabajan en sectores de infraestructura críticos en los Estados Unidos explotando el contenido de descripciones de trabajo auténticas. Se hacen pasar por reclutadores de empresas conocidas y atraen a las víctimas con información laboral falsa. Mandiant señala que UNC2970 personaliza y adapta las descripciones de trabajo a objetivos específicos.
“En junio de 2024, Mandiant Managed Defense identificó un grupo de ciberespionaje con presuntos vínculos con Corea del Norte, que Mandiant rastreó con UNC2970”, Marco Galli, Diana Ion y Yash Gupta, Adrian Hernandez, Ana Martinez Gomez, Jon Daniels y Christopher Gardner. escribió en una publicación de blog de Google Cloud la semana pasada. “Más tarde ese mes, Mandiant descubrió señuelos de phishing adicionales que se hacían pasar por empresas de las industrias energética y aeroespacial y se dirigían a víctimas de estas industrias”.
UNC2970 es un grupo de ciberespionaje que Mandiant ha estado rastreando desde 2021 con presuntos vínculos con Corea del Norte. Las actividades de este actor de amenazas se superponen con las de TEMP(punto)Hermit, un actor de amenazas que ha estado activo desde al menos 2013 y recopila inteligencia estratégica alineada con los intereses de Corea del Norte.
Mandiant ha confirmado que UNC2970 apunta a víctimas en Estados Unidos, Reino Unido, Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia.
Los investigadores también revelaron que UNC2970 se comunicaba con las víctimas por correo electrónico y WhatsApp, y eventualmente compartía un archivo malicioso que pretendía contener información laboral en formato PDF. “El archivo PDF está cifrado y solo se puede abrir con la versión troyanizada de SumatraPDF incluida, que finalmente entrega la puerta trasera MISTPEN a través del iniciador BURNBOOK. Como parte de la campaña, observamos que UNC2970 modificaba el código fuente abierto de versiones anteriores de SumatraPDF. Esto es “No es un compromiso de SumatraPDF y no hay vulnerabilidades específicas de SumatraPDF. Después del descubrimiento, Mandiant se comunicó con SumatraPDF sobre esta campaña. Hemos emitido una alerta pública para informar al público”, agregaron los investigadores.
Curiosamente, Mandiant señala que se han realizado algunos cambios entre la descripción del trabajo proporcionada y la descripción del trabajo original para adaptarse al perfil de la víctima, incluidas las calificaciones, la experiencia y las habilidades requeridas que he confirmado. “Además, las descripciones de trabajo seleccionadas están dirigidas a empleados de nivel superior/gerente, lo que brinda a los actores de amenazas acceso a información confidencial y secreta que normalmente está limitada a los empleados superiores. Muestra lo que se busca”.
Además, Mandiant descubrió archivos ZIP cargados en VirusTotal con estructuras idénticas pero descripciones de trabajo diferentes. El contenido del PDF es coherente con una descripción de trabajo legítima en el sector de la energía nuclear.
Mandiant Managed Defense descubrió que las víctimas descargaban y abrían archivos ZIP protegidos con contraseña que recibían a través de los chats de WhatsApp, esperando ver un documento con una descripción del trabajo. A juzgar por las circunstancias circundantes, es posible que se haya dirigido al usuario a abrir el archivo PDF utilizando un programa de visualización de PDF troyanizado basado en el proyecto de código abierto SumatraPDF. Como se mencionó anteriormente, esta técnica no explota ninguna vulnerabilidad en el código fuente original de SumatraPDF.
SumatraPDF es una aplicación de visualización de documentos de código abierto que puede mostrar una variedad de formatos de archivos de documentos, incluidos PDF, XPS y CHM. El código fuente está disponible públicamente.
Mandiant Managed Defense informó una actividad similar en 2022 debido a UNC4034, que luego se fusionó con UNC2970.
Ana Ribeiro
Editor de noticias cibernéticas industriales. Anna Ribeiro es periodista freelance con más de 14 años de experiencia en seguridad, almacenamiento de datos, virtualización e IoT.
https://industrialcyber.co/ransomware/google-details-unc2970-north-korea-linked-espionage-hackers-targeting-us-energy-aerospace-sectors/
