Seguridad

¿Cómo está recopilando el grupo de amenazas TA427 información de ciberespionaje?

Los investigadores de amenazas de la empresa de ciberseguridad y cumplimiento normativo, Proofpoint, han publicado información detallada sobre la actividad del grupo TA427 (conocido también por los sobrenombres Emerald Sleet, APT43, THALLIUM o Kimsuky), alineado con Corea del Norte y que trabaja prestando apoyo a su agencia de espionaje llamada Oficina General de Reconocimiento.

¿A qué se dedica el grupo TA427?

TA427 es un grupo de amenazas patrocinado por un estado que ha sido exhaustivamente estudiado por Proofpoint. Este grupo destaca por sus intensivas campañas de phishing por correo electrónico que buscan recolectar información clave sobre desarme nuclear, sanciones y las políticas exteriores de EE. UU. y Corea del Sur, con el objetivo de fortalecer la inteligencia de Corea del Norte. Tradicionalmente, los atacantes han empleado técnicas de ingeniería social y han renovado constantemente su infraestructura de correo electrónico. Sin embargo, recientemente, Proofpoint ha notado que TA427 ha empezado a adoptar estrategias más sofisticadas como la suplantación de identidad y el uso de balizas web para perfilar a sus objetivos.

Este grupo explota políticas laxas de autenticación y conformidad de mensajes basados en dominios (DMARC) para suplantar identidades y mantener conversaciones aparentemente inocuas durante semanas o meses, estableciendo así relaciones con sus objetivos. De acuerdo con los hallazgos de Proofpoint, TA427 logra sus metas de inteligencia solicitando directamente opiniones o análisis a sus objetivos, en lugar de intentar infectar sus sistemas. Esta información recabada probablemente ayuda a mejorar la selección de objetivos dentro de la organización afectada y a establecer contactos más efectivos en el futuro.

Muchas entidades que TA427 ha suplantado no implementan políticas DMARC adecuadas

De esta forma, permiten que los correos electrónicos evadan los controles de seguridad y asegurando su entrega. Los atacantes modifican el encabezado del correo para que parezca que proviene de la organización suplantada y utilizan direcciones de correo electrónico gratuitas para dar la impresión de que el destinatario está comunicándose con un empleado legítimo. Además, el uso de balizas web permite a TA427 incrustar objetos hipervinculados invisibles en los correos, que al activarse intentan recuperar una imagen benigna de un servidor controlado por ellos. Este mecanismo probablemente busca confirmar la actividad del correo objetivo y recabar datos sobre el entorno de red del destinatario, incluyendo direcciones IP y otros detalles técnicos relevantes.

¿Cuál es el objetivo final de este grupo?

Los expertos en amenazas de Proofpoint resumen: "Las acciones de TA427 buscan conseguir algo tremendamente complejo de medir: la información y la influencia. A lo largo de los años, este grupo se ha camuflado bajo identidades de académicos, periodistas y investigadores para acercarse a otros expertos y ganarse un lugar dentro de sus organizaciones, con el objetivo de recopilar datos estratégicos a largo plazo. Con éxito evidente, TA427 continúa adaptando sus tácticas y desarrollando rápidamente nuevas infraestructuras y personajes".