wmtech logo

Microsoft advierte: Hackers norcoreanos recurren a la ciberespionaje impulsado por inteligencia artificial

Luis Quiles
Luis Quiles
ai
Criptomonedas, Inteligencia artificial

Microsoft ha revelado que actores cibernéticos patrocinados por el estado norcoreano han comenzado a utilizar inteligencia artificial (IA) para hacer que sus operaciones sean más efectivas y eficientes.

«Están aprendiendo a utilizar herramientas impulsadas por modelos de lenguaje de inteligencia artificial (LLM) para hacer que sus operaciones sean más eficientes y efectivas», dijo la gigante tecnológica en su último informe sobre grupos de piratería en Asia Oriental.

La compañía destacó específicamente a un grupo llamado Emerald Sleet (también conocido como Kimusky o TA427), que ha sido observado utilizando LLM para fortalecer los esfuerzos de spear-phishing dirigidos a expertos en la Península de Corea.

También se dice que el adversario ha dependido de los últimos avances en IA para investigar vulnerabilidades y llevar a cabo reconocimientos en organizaciones y expertos centrados en Corea del Norte, uniéndose a grupos de piratería de China, que han recurrido a contenido generado por IA para operaciones de influencia.

Además, empleó LLM para solucionar problemas técnicos, realizar tareas básicas de scripting y redactar contenido para mensajes de spear-phishing, dijo Redmond, agregando que trabajó con OpenAI para desactivar cuentas y activos asociados con el actor de amenazas.

Según un informe publicado la semana pasada por la firma de seguridad empresarial Proofpoint, el grupo «participa en campañas de inicio de conversación benignas para establecer contacto con objetivos para intercambios a largo plazo de información sobre temas de importancia estratégica para el régimen norcoreano».

El modus operandi de Kimsuky implica aprovechar personas relacionadas con think tanks y organizaciones no gubernamentales para legitimar sus correos electrónicos y aumentar la probabilidad de éxito del ataque.

Sin embargo, en los últimos meses, el actor estatal ha comenzado a abusar de las políticas laxas de Autenticación de Mensajes Basada en Dominio, Reporte y Conformidad (DMARC) para suplantar diversas personas e incorporar balizas web (es decir, píxeles de seguimiento) para el perfilado de objetivos, lo que indica su «agilidad para ajustar sus tácticas».

«Las balizas web probablemente están destinadas como reconocimiento inicial para validar que los correos electrónicos dirigidos estén activos y para obtener información fundamental sobre los entornos de red de los destinatarios, incluidas las direcciones IP externamente visibles, el Agente de Usuario del host y el momento en que el usuario abrió el correo electrónico», dijo Proofpoint.

MS

Este desarrollo se produce mientras que los grupos de piratería norcoreanos continúan participando en robos de criptomonedas y ataques a cadenas de suministro, con un actor de amenazas apodado Jade Sleet vinculado al robo de al menos $35 millones de una empresa criptográfica estonia en junio de 2023 y más de $125 millones de una plataforma de criptomonedas con sede en Singapur un mes después.

Jade Sleet, que se superpone con grupos rastreados como TraderTraitor y UNC4899, también ha sido observado atacando casinos en línea de criptomonedas en agosto de 2023, además de aprovechar repositorios falsos en GitHub y paquetes npm armados para dirigirse a empleados de organizaciones de criptomonedas y tecnología.

En otro caso, una empresa de TI con sede en Alemania fue comprometida por Diamond Sleet (también conocido como Grupo Lazarus) en agosto de 2023 y se utilizó una aplicación de una empresa de TI con sede en Taiwán para llevar a cabo un ataque a la cadena de suministro en noviembre de 2023.

«Esto probablemente generará ingresos, principalmente para su programa de armas, además de recopilar inteligencia sobre Estados Unidos, Corea del Sur y Japón», dijo Clint Watts, director general del Centro de Análisis de Amenazas de Microsoft (MTAC).

El Grupo Lazarus también es notable por emplear métodos intrincados como la Intercepción de DLL Fantasma de Windows y la manipulación de la base de datos de Transparencia, Consentimiento y Control (TCC) en Windows y macOS, respectivamente, para socavar las protecciones de seguridad y desplegar malware, contribuyendo a su sofisticación y naturaleza esquiva, según Interpres Security.

Estos hallazgos se dan en medio de una nueva campaña orquestada por el grupo Konni (también conocido como Vedalia) que utiliza archivos de acceso directo de Windows (LNK) para entregar cargas maliciosas.

«El actor de amenazas utilizó extensiones dobles para ocultar la extensión .lnk original, con los archivos LNK observados conteniendo espacios en blanco excesivos para oscurecer las líneas de comandos maliciosas», dijo Symantec. «Como parte del vector de ataque, el script de línea de comandos buscaba PowerShell para eludir la detección y localizar archivos incrustados y la carga útil maliciosa».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.