Sapphire Sleet APT
Segons els informes, el grup d'amenaces afiliat a Corea del Nord identificat com el Sapphire Sleet ha recaptat més de 10 milions de dòlars en criptomoneda mitjançant esquemes d'enginyeria social realitzats durant un període de sis mesos. Els resultats de la investigació indiquen que diversos grups d'amenaces connectats a Corea del Nord han estat creant perfils de LinkedIn fraudulents. Aquests perfils, dissenyats per imitar tant els reclutadors com els que busquen feina, tenen com a objectiu facilitar activitats il·lícites i generar suport econòmic per al règim molt sancionat.
Activa des d'almenys 2020, Sapphire Sleet comparteix connexions amb altres entitats de pirateria, com ara APT38 i BlueNoroff. El novembre de 2023, els investigadors van descobrir que el grup havia creat una infraestructura que imitava plataformes d'avaluació d'habilitats, aprofitant aquests llocs per executar les seves tàctiques d'enginyeria social.
Taula de continguts
Tàctiques enganyoses utilitzades per Sapphire Sleet
Durant l'últim any, el grup ha utilitzat principalment una estratègia de suplantar la identitat de capitalistes de risc, fingint interès en el negoci d'un objectiu per organitzar una reunió en línia. Quan els objectius intenten unir-se a la reunió, troben missatges d'error que els indiquen que es posen en contacte amb l'administrador de la reunió o l'equip d'assistència per obtenir ajuda.
Si la víctima compleix, els atacants proporcionen un fitxer AppleScript (.scpt) o un fitxer Visual Basic Script (.vbs) adaptat al sistema operatiu de la víctima amb l'excusa de resoldre el problema. Darrere de les escenes, aquests scripts estan dissenyats per desplegar programari maliciós al dispositiu macOS o Windows de la víctima, permetent als atacants recollir credencials i accedir a carteres de criptomoneda per a un robatori posterior.
Suplantar la identitat d'una entitat legítima per enganyar els objectius
S'ha observat que Sapphire Sleet suplanta els reclutadors d'institucions financeres destacades, com Goldman Sachs, a LinkedIn. Aquesta tàctica consisteix en contactar amb objectius potencials i convidar-los a completar una avaluació d'habilitats allotjada en un lloc web controlat pels actors de l'amenaça.
Les víctimes reben un compte d'inici de sessió i una contrasenya per accedir al lloc fraudulent. En iniciar sessió i descarregar fitxers relacionats amb la suposada avaluació, instal·len programari maliciós inadvertidament als seus dispositius, donant als atacants accés no autoritzat als seus sistemes.
A més, els analistes de ciberseguretat han destacat el desplegament per part de Corea del Nord de milers de treballadors informàtics a l'estranger com a part d'una estratègia polifacètica. Aquests treballadors generen ingressos per al règim mitjançant l'ocupació legítima, exploten el seu accés per robar propietat intel·lectual i es dediquen al robatori de dades per demanar un rescat.
A causa de les restriccions a Corea del Nord, com ara la impossibilitat d'obrir comptes bancaris o d'obtenir números de telèfon, aquests operaris de TI depenen dels intermediaris per accedir a plataformes on poden assegurar treballs remots. Aquests facilitadors ajuden amb tasques com la creació de comptes en llocs de treball autònoms i la configuració de perfils i carteres falsos en plataformes com GitHub i LinkedIn per interactuar amb els reclutadors i sol·licitar oportunitats de feina.
Els cibercriminals estan adoptant tecnologies d'IA en les seves operacions
En alguns casos, s'ha trobat que el grup utilitza eines d'intel·ligència artificial (IA), com ara Faceswap, per alterar fotos i documents obtinguts de les víctimes. Aquestes imatges modificades, sovint col·locades en entorns professionals, s'utilitzen després en currículums o perfils, de vegades amb identitats múltiples, enviats per a sol·licituds de feina.
Més enllà de la manipulació d'imatges per a sol·licituds de feina, els treballadors de TI de Corea del Nord també estan explorant altres tecnologies d'IA, inclòs el programari de canvi de veu, per millorar els seus esforços enganyosos.
Els treballadors informàtics de Corea del Nord semblen mantenir un sistema ben organitzat per fer un seguiment dels pagaments que reben. Es calcula que els seus esforços combinats han generat almenys 370.000 dòlars en ingressos.
