Hackers norcoreanos amplían los ciberataques globales utilizando herramientas de Blockchain

TLDR

• Los hackers norcoreanos están utilizando tecnología blockchain para desarrollar sistemas de comando descentralizados.
• Las ofertas de trabajo falsas son una táctica común para los ciberataques norcoreanos.
• Malware como BeaverTail y OtterCookie se utiliza para el robo de credenciales.
• El malware EtherHiding oculta cargas útiles en blockchains públicas para mayor sigilo.

Los hackers vinculados a Corea del Norte están aumentando sus ciberataques globales utilizando nuevas herramientas de malware descentralizadas y evasivas, según informes recientes de Cisco Talos y el Grupo de Inteligencia de Amenazas de Google (GTIG). Estas campañas se dirigen a individuos y empresas a través de esquemas falsos de reclutamiento laboral, con el objetivo de robar criptomonedas, acceder a redes y evadir la detección. Los investigadores advierten que el uso de sistemas de comando basados en blockchain está haciendo que estas operaciones sean más difíciles de interrumpir.

Expansión de operaciones cibernéticas utilizando malware avanzado

Cisco Talos ha identificado un grupo de amenazas norcoreano conocido como Famous Chollima, que continúa evolucionando sus tácticas y herramientas. Se ha observado que el grupo utiliza dos familias de malware relacionadas llamadas BeaverTail y OtterCookie, ambas desarrolladas para robar credenciales y recopilar datos sensibles. Estas variantes actualizadas ahora comparten funciones que mejoran la comunicación y la eficiencia durante los ataques.

En un caso investigado por Cisco Talos, una organización de Sri Lanka se vio indirectamente afectada cuando un solicitante de empleo fue engañado para instalar un programa malicioso como parte de una prueba técnica falsa. El malware incluía módulos para registrar pulsaciones de teclas y tomar capturas de pantalla. La información recopilada fue enviada a servidores remotos controlados por los atacantes. Los investigadores dijeron que este método muestra cómo los individuos pueden verse comprometidos incluso cuando las organizaciones no son objetivos directos.

Blockchain como sistema de comando descentralizado

El Grupo de Inteligencia de Amenazas de Google informó que un actor vinculado a Corea del Norte, conocido como UNC5342, ha desplegado un nuevo malware llamado EtherHiding. Este malware oculta cargas útiles maliciosas de JavaScript en blockchains públicas. Al utilizar este enfoque, los atacantes construyen un sistema de comando y control descentralizado (C2) que es difícil de eliminar para las autoridades.

Según GTIG, EtherHiding permite a los atacantes modificar el comportamiento del malware de forma remota sin depender de servidores tradicionales. Esta técnica reduce las posibilidades de interrupción ya que los datos de blockchain no pueden ser eliminados fácilmente. Los investigadores de Google conectaron esta operación con una campaña más amplia llamada Contagious Interview, donde se utilizaron ofertas de trabajo falsas para infectar a las víctimas. Los hallazgos revelan que los grupos norcoreanos están integrando tecnología descentralizada para mantener la persistencia en múltiples operaciones.

Campañas de reclutamiento falsas como punto de entrada principal

Tanto Cisco como Google observaron que estas operaciones cibernéticas a menudo comienzan con publicaciones de trabajo fraudulentas dirigidas a profesionales de las industrias de criptomonedas y ciberseguridad. Las víctimas son contactadas con supuestas ofertas de entrevistas y se les pide que completen evaluaciones falsas que incluyen archivos con malware incrustado.

Las infecciones involucran una mezcla de familias de malware como JadeSnow, BeaverTail e InvisibleFerret, que juntas permiten a los atacantes robar credenciales, desplegar ransomware y obtener acceso más profundo a los sistemas. Los investigadores creen que las campañas buscan tanto ganancias financieras como acceso a largo plazo a entornos corporativos para espionaje y explotación futura.

Medidas defensivas y amenazas continuas

Cisco Talos y Google han publicado indicadores de compromiso (IOCs) para ayudar a las organizaciones a detectar actividades maliciosas relacionadas. Estos indicadores incluyen marcadores técnicos que los equipos de seguridad pueden utilizar para monitorear y bloquear comportamientos sospechosos vinculados a estas campañas.

Los analistas dicen que la combinación de ingeniería social y herramientas basadas en blockchain está creando nuevos desafíos para la defensa de la ciberseguridad. Como las blockchains públicas no pueden ser fácilmente controladas o cerradas, se están convirtiendo en una infraestructura preferida para los actores de amenazas que buscan mantener el acceso y ocultar sus operaciones.

Los investigadores de ambas compañías continúan rastreando estas campañas y compartiendo hallazgos con la comunidad global de ciberseguridad. Recomiendan que las organizaciones verifiquen cuidadosamente las ofertas de trabajo, restrinjan las descargas de archivos durante los procesos de contratación y actualicen los sistemas de monitoreo para detectar familias de malware en evolución como BeaverTail, OtterCookie y EtherHiding.

La publicación Los hackers norcoreanos amplían los ciberataques globales utilizando herramientas blockchain apareció primero en CoinCentral.