Um grupo de hackers ligado à Coreia do Norte, conhecido por suas operações de espionagem cibernética, expandiu-se gradualmente para ataques com motivação financeira que envolvem a implantação de ransomware, diferenciando-o de outros grupos de hackers de estados-nação ligados ao país.
A Mandiant, de propriedade do Google, está rastreando o cluster de atividades sob um novo apelido APT45que se sobrepõe a nomes como Andariel, Nickel Hyatt, Onyx Sleet, Stonefly e Silent Chollima.
“O APT45 é um operador cibernético norte-coreano de longa duração e moderadamente sofisticado que realizou campanhas de espionagem já em 2009”, disseram os pesquisadores Taylor Lengthy, Jeff Johnson, Alice Revelli, Fred Plan e Michael Barnhart. “O APT45 tem sido o mais frequentemente observado visando infraestrutura crítica.”
Vale mencionar que o APT45, juntamente com o APT38 (também conhecido como BlueNoroff), o APT43 (também conhecido como Kimsuky) e o Lazarus Group (também conhecido como TEMP.Hermit), são elementos do Reconnaissance Normal Bureau (RGB) da Coreia do Norte, a principal organização de inteligência militar do país.
O APT45 está notavelmente vinculado à implantação de famílias de ransomware rastreadas como SHATTEREDGLASS e Maui, visando entidades na Coreia do Sul, Japão e EUA em 2021 e 2022. Detalhes do SHATTEREDGLASS foram documentados pela Kaspersky em junho de 2021.
“É possível que o APT45 esteja realizando crimes cibernéticos com motivação financeira, não apenas para dar suporte às suas próprias operações, mas para gerar fundos para outras prioridades do Estado norte-coreano”, disse Mandiant.
Outro malware notável em seu arsenal é um backdoor chamado Dtrack (também conhecido como Valefor e Preft), que foi usado pela primeira vez em um ataque cibernético direcionado à Usina Nuclear de Kudankulam, na Índia, em 2019, marcando um dos poucos casos conhecidos publicamente de agentes norte-coreanos atacando infraestruturas críticas.
“O APT45 é um dos operadores cibernéticos mais antigos da Coreia do Norte, e a atividade do grupo reflete as prioridades geopolíticas do regime, mesmo que as operações tenham mudado da espionagem cibernética clássica contra entidades governamentais e de defesa para incluir assistência médica e ciência agrícola”, disse Mandiant.
“À medida que o país se tornou dependente de suas operações cibernéticas como um instrumento de poder nacional, as operações realizadas pelo APT45 e outros operadores cibernéticos norte-coreanos podem refletir as mudanças de prioridades da liderança do país.”
As descobertas foram feitas depois que a empresa de treinamento de conscientização em segurança KnowBe4 disse que foi enganada ao contratar um trabalhador de TI da Coreia do Norte como engenheiro de software program, que usou uma identidade roubada de um cidadão americano e melhorou sua foto usando inteligência synthetic (IA).
“Period um habilidoso trabalhador de TI norte-coreano, apoiado por uma infraestrutura criminosa apoiada pelo Estado, que usou a identidade roubada de um cidadão americano participando de várias rodadas de entrevistas em vídeo e contornou processos de verificação de antecedentes comumente usados por empresas”, disse a empresa.
O exército de trabalhadores de TI, avaliado como parte do Departamento da Indústria de Munições do Partido dos Trabalhadores da Coreia, tem um histórico de busca de emprego em empresas sediadas nos EUA, fingindo estar localizadas no país quando, na verdade, estão na China e na Rússia, e fazendo login remotamente por meio de laptops fornecidos pela empresa e entregues a uma “fábrica de laptops”.
A KnowBe4 disse que detectou atividades suspeitas na estação de trabalho Mac enviada ao indivíduo em 15 de julho de 2024, às 21h55 EST, que consistiam em manipular arquivos de histórico de sessão, transferir arquivos potencialmente prejudiciais e executar software program prejudicial. O malware foi baixado usando um Raspberry Pi.
Vinte e cinco minutos depois, a empresa de segurança cibernética sediada na Flórida disse que continha o dispositivo do funcionário. Não há evidências de que o invasor obteve acesso não autorizado a dados ou sistemas sensíveis.
“O golpe é que eles estão realmente fazendo o trabalho, sendo bem pagos e doando uma grande quantia para a Coreia do Norte para financiar seus programas ilegais”, disse o presidente-executivo da KnowBe4, Stu Sjouwerman.
“Este caso destaca a necessidade crítica de processos de verificação mais robustos, monitoramento contínuo de segurança e melhor coordenação entre as equipes de RH, TI e segurança na proteção contra ameaças persistentes avançadas.”
