Los investigadores de amenazas de la empresa de ciberseguridad y cumplimiento normativo Proofpoint han publicado información detallada sobre la actividad del grupo TA427 (conocido también por los sobrenombres Emerald Sleet, APT43, THALLIUM o Kimsuky), alineado con Corea del Norte y que trabaja prestando apoyo a su agencia de espionaje llamada Oficina General de Reconocimiento.
TA427 es uno de los grupos de amenazas patrocinado por un estado más analizados por Proofpoint, siendo particularmente prolífico en campañas de phishing por correo electrónico para obtener información sobre desarme nuclear, sanciones, así como política exterior de Estados Unidos y Corea del Sur, tratando de aumentar así la inteligencia norcoreana. Los atacantes se basaban en tácticas de ingeniería social y rotaban regularmente su infraestructura de correo electrónico, pero en los últimos meses los investigadores de Proofpoint han observado que TA427 ha comenzado a utilizar métodos nuevos y adicionales, como la suplantación de identidad y la incorporación de balizas web para crear perfiles de objetivos.
TA427 y su condición de grupo de amenazas patrocinado por un estado
Este grupo abusaba de las laxas políticas de autenticación, notificación y conformidad de mensajes basados en dominios (DMARC) para hacerse pasar por varias personas en conversaciones benignas con las que poder establecer una relación con sus objetivos durante semanas o meses. Según la investigación de Proofpoint, TA427 cumplía sus requisitos de inteligencia, pidiendo directamente a los objetivos sus opiniones o análisis en lugar de provocar una infección. Además, es probable que esa información sirviese para mejorar la selección de objetivos en la organización víctima y hacer contactos posteriores.
Muchas de las entidades que TA427 ha suplantado no aplicaban políticas DMARC, permitiendo que los correos electrónicos eludiesen las comprobaciones de seguridad y se garantizase su entrega. Los ciberdelincuentes modificaban el encabezado para mostrar que el remitente es de la organización suplantada y empleaban direcciones de email gratuitas con la misma persona en el campo de respuesta para convencer al destinatario de que estaba interactuando con personal legítimo.
Asimismo, el uso de balizas web por parte de TA427, que emplean otros actores de amenazas persistentes avanzadas, incrustaba un objeto hipervinculado no visible en el cuerpo del correo electrónico que, cuando se activaba, intentaba recuperar un archivo de imagen benigno de un servidor controlado por este grupo. Es probable que las balizas web estuviesen pensadas para validar que los emails objetivo estuviesen activos y obtener información sobre los entornos de red de los destinatarios, incluyendo las direcciones IP, el user-agent del host y la hora a la que el usuario abrió el correo electrónico.
“La actividad de TA427 persigue algo que es infinitamente difícil de cuantificar: la información y la influencia. Durante años, este grupo de amenazas se ha hecho pasar por personas del mundo académico, el periodismo y la investigación para captar a otros expertos y hacerse un hueco en sus respectivas organizaciones con el fin de recopilar datos estratégicos a largo plazo. Con un claro éxito, TA427 no muestra indicios de ralentización o pérdida de agilidad a la hora de ajustar sus tácticas y establecer nuevas infraestructuras y personajes con rapidez”, concluyen los expertos en amenazas de Proofpoint.