El grupo norcoreano ScarCruft se expande del espionaje a los ataques de ransomware

Los hackers norcoreanos ScarCruft pasan del espionaje al ransomware, utilizando malware VCD en ataques de phishing, atacando a Corea del Sur con herramientas avanzadas. Descubra cómo este nuevo malware marca la transición del espionaje a los ciberataques con fines económicos.

ScarCruft , un conocido grupo de hackers norcoreano, está cambiando sus métodos y añadiendo un nuevo tipo de ataque a su estrategia habitual de espionaje. Expertos en ciberseguridad de la firma surcoreana S2W publicaron recientemente un informe que revela que ScarCruft utiliza un nuevo ransomware llamado VCD.

Este es un cambio crítico, ya que tradicionalmente el grupo se ha centrado en robar información de personas de alto perfil y agencias gubernamentales en países como Corea del Sur, Japón y Rusia.

La reciente campaña del grupo, llevada a cabo por un subgrupo llamado ChinopuNK, tuvo lugar en julio y utilizó correos electrónicos de phishing dirigidos a personas en Corea del Sur. Estos correos contenían un archivo engañoso camuflado como una actualización de códigos postales.

Una vez abierto, este archivo infectó el ordenador de la víctima con más de nueve tipos diferentes de malware, incluyendo una nueva variante de un malware conocido llamado ChillyChino y una puerta trasera escrita en el lenguaje de programación Rust . Entre estos se encontraban programas de robo de información como LightPeek y FadeStealer, así como una puerta trasera llamada NubSpy que permitía a los hackers controlar el ordenador en secreto.

Esta puerta trasera es especialmente astuta porque utiliza un servicio de mensajería en tiempo real llamado PubNub para ocultar su tráfico malicioso dentro de la actividad normal de la red. Esta campaña también destaca por incluir el nuevo ransomware VCD, que bloquea los archivos de una persona y exige un rescate. La nota de rescate incluso está disponible en inglés y coreano.

Según el Centro de Análisis e Inteligencia de Amenazas (TALON) de S2W, este nuevo enfoque sugiere que ScarCruft podría estar añadiendo objetivos financieros a sus actividades de espionaje. El grupo forma parte de una red más amplia de hackers norcoreanos conocidos por generar ingresos para el gobierno del país, que enfrenta numerosas sanciones económicas.

Un informe de las Naciones Unidas del año pasado ( PDF ) incluso afirmó que los piratas informáticos norcoreanos, incluidos grupos como Lazarus y Kimsuky , habían robado alrededor de 3.000 millones de dólares en seis años.

Mayank Kumar , ingeniero fundador de IA en la firma DeepTempo, comentó sobre esta evolución, destacando la creciente complejidad de estos ataques. Al compartir su comentario con Hackread.com, Kumar afirmó que el uso de ransomware por parte de ScarCruft, junto con sus herramientas de espionaje habituales, muestra una nueva tendencia en la que el hackeo con respaldo nacional y las tácticas criminales se están fusionando.

Los grupos de amenazas persistentes avanzadas deben ampliar sus herramientas y difuminar la línea entre el espionaje y el ciberdelito. Los defensores deben prepararse para campañas donde el ransomware sea un elemento más de una operación de varias etapas. La detección adaptativa de anomalías basada en aprendizaje profundo en el tráfico de red, los eventos del sistema y los registros de seguridad, junto con una sólida segmentación, una contención rápida y visibilidad de la actividad adversaria, tanto humana como automatizada, es esencial para contrarrestar estas amenazas combinadas, sugirió Kumar.