Proofpoint ha estado investigando las técnicas de un grupo de ciberdelincuentes patrocinado por Corea del Norte al que se le conoce como TA444. Sus operaciones principales tienen una motivación financiera, por lo que se cree que su misión consiste en generar ingresos para el régimen norcoreano. Antes conseguían su objetivo atacando bancos para canalizar dinero en efectivo hacia este país o a intermediarios en el extranjero, pero ahora han centrado su atención, al igual que la industria tecnológica, en las criptomonedas.
En sus inicios con blockchain y criptodivisas, el TA444 tenía dos principales vías de acceso: una cadena de suministro orientada a archivos LNK y una cadena que comenzaba con documentos que utilizaban plantillas remotas. Estas campañas solían denominarse DangerousPassword, CryptoCore o SnatchCrypto. Durante 2022, este grupo siguió utilizando ambos métodos, pero también probó otros tipos de archivos que no había utilizado anteriormente. De hecho, parecía ser un reflejo del panorama de ciberataques de ese momento, imitando procedimientos de otros ciberdelincuentes que intentaban encontrar maneras alternativas de introducir sus payloads.
Este grupo llama la atención por comportarse de manera similar a una startup tecnológica, haciendo pruebas de “productos” para ver qué funciona y qué no, y poder desarrollarlos y mejorarlos. Cuando otros ciberatacantes con orientación financiera prueban métodos de entrega, tienden a cargar sus payloads tradicionales, pero este no es el caso del TA444. Esto sugiere que existe un elemento de desarrollo de malware intrínseco en sus acciones.
Para aumentar sus probabilidades de éxito, tienen una completa estrategia de marketing enfocada a convencer a las víctimas de que hagan clic en enlaces maliciosos. Primero, elaboran contenido señuelo que pueda ser de interés para el objetivo, como análisis de blockchains de criptomonedas, ofertas de trabajo en compañías prestigiosas o ajustes salariales. Después, continuando con las similitudes con una startup, utilizan herramientas de email marketing como SendInBlue y SendGrid para interactuar con su público objetivo. Estos emails sirven para redireccionar archivos alojados en la nube o conectar a la víctima directamente a la infraestructura del TA444. Además, el uso de estos enlaces elimina la posible reticencia de muchos usuarios a hacer clic en un enlace desconocido, ya que los enlaces de estas plataformas no parecen sospechosos.
Las redes sociales son también un elemento fundamental de las tácticas del TA444, ya que utilizan habitualmente LinkedIn para interactuar con el objetivo antes de entregarle enlaces con malware. Proofpoint ha observado que este grupo puede comunicarse en inglés, español, polaco y japonés.
Este grupo de ciberdelincuentes es capaz de defraudar a sus víctimas cientos de millones de euros. Se estima que el TA444 y los clústeres relacionados robaron casi 400 millones de euros en criptomonedas y activos relacionados en 2021. En 2022, el grupo superó ese valor con un solo ataque en el que consiguieron alrededor de 500 millones de euros, reuniendo más de mil millones durante todo el año. Corea del Norte, al igual que otros entusiastas del mundo cripto, ha capeado la pérdida de valor de las criptomonedas, y sigue utilizándolas como vehículo para conseguir fondos para el régimen.
