De acuerdo con un reporte de Kaspersky Threat Intelligence sobre las tácticas, técnicas y procedimientos (TTP) de los grupos asiáticos de APT, en abril de 2022 se detectó un incidente relacionado con una agencia gubernamental de Argentina y sobre la base del análisis de las TTP empleadas por el atacante, suponen que las acciones fueron tomadas por el grupo APT conocido como Dark Seoul.
El análisis preliminar arrojó que los atacantes utilizaron una cuenta con privilegios para ejecutar varios archivos en el sistema y ejecutar un archivo malicioso conocido como HolyGhost Ransomware.
Recordemos que las Amenazas Persistentes y Avanzadas (Advanced Persistent Threats, APT), involucran ciberataques minuciosamente planificados y diseñados con alto grado de sofisticación y persistencia prolongada, ejecutados por actores muy bien financiados. Según serios elementos de atribución, están vinculados con países como Estados Unidos (EE.UU), Rusia, China, Corea del Norte, Vietnam, Irán y otros situados en la Unión Europea, por tanto, el alcance de sus actividades es de carácter eminentemente global.
Entre los objetivos que persigue este tipo de amenaza se encuentra el espionaje (incluido el robo de propiedad intelectual o secretos de estado), los delitos cibernéticos para obtener ganancias financieras, el hacktivismo y la destrucción (Crowdstrike).
La actividad del “grupo Dark Seoul” (Silent Chollima, Rifle, Wassonite) está presuntamente vinculada con el Gobierno de La República Popular Democrática de Corea, llamada comúnmente Corea del Norte y se conecta con otro grupo de amenazas cibernéticas patrocinado por ese Estado-nación: Lazarus.
Por otro lado, se advierte que en América Latina (LATAM) es frecuente que no se le preste la debida atención a este tipo de amenazas, por ello, es preciso recordar otros antecedentes de APT que han estado operando en esta parte del mundo:
- Operación de ciberespionaje ejecutada mediante el malware Machete (2010-2019).
Machete es un conjunto de herramientas de ciberespionaje desarrollado por un grupo de habla hispana que ha estado operando desde al menos 2010, con una larga serie de ataques, centrados en países de LATAM.
- Virus “The Mask” o “Careto”
Descubierto a inicios del 2014, pero su operatividad se extiende hacia años atrás. Fue clasificado como el más letal y avanzado malware de espionaje informático. De acuerdo con Márquez Díaz (2017), según informe publicado por Kaspersky Lab, existe evidencia contundente, de varios países infectados por el virus en mención, donde el foco de dispersión tiene relación directa con la política exterior de España. Cita que hay 31 países involucrados y víctimas de este Malware. La lista incluye la Argentina.
Finalmente, el reporte incluye una sección especial donde describen las medidas que se pueden tomar para reducir el riesgo de comprometer la infraestructura.
Fuente: Kaspersky