ScarCruft, un actor de amenazas vinculado a Corea del Norte y también conocido como APT37, InkySquid, RedEyes, Ricochet Chollima y Ruby Sleet, ha iniciado una nueva campaña en diciembre de 2023. Según los investigadores de SentinelOne, ScarCruft está experimentando con nuevas cadenas de infección, utilizando un informe técnico de investigación de amenazas para atraer a consumidores de inteligencia de amenazas como profesionales de ciberseguridad.
ScarCruft, que se cree que es parte del Ministerio de Seguridad del Estado (MSS), se diferencia de otros grupos como Grupo Lazarus y el grupo Kimsuky. ScarCruft tiene como objetivo recopilar inteligencia encubierta al dirigirse a gobiernos y desertores utilizando señuelos de spear-phishing.
En agosto de 2023, ScarCruft fue asociado con un ataque a la empresa rusa NPO Mashinostroyeniya junto con el Grupo Lazarus. La cadena de ataque más reciente detectada por SentinelOne se centró en expertos en asuntos relacionados con Corea del Norte. Esta cadena se hizo pasar por un miembro del Instituto de Investigación de Corea del Norte. El correo electrónico instaba al destinatario a abrir un archivo ZIP que contenía materiales de presentación.
Si bien la mayoría de los archivos en el archivo ZIP son benignos, dos de ellos son archivos maliciosos LNK de Windows. SentinelOne descubrió malware y variantes de shellcode que entregan el backdoor RokRAT, que es parte de los procesos de planificación y prueba del actor de amenazas.
Este último desarrollo sugiere que el equipo de hackers estatales está ajustando activamente su modus operandi para evitar la detección en respuesta a la divulgación pública de sus tácticas y técnicas. ScarCruft está comprometido con la obtención de inteligencia estratégica, posiblemente para obtener información sobre inteligencia de amenazas cibernéticas no públicas y estrategias de defensa.
En resumen, ScarCruft ha iniciado una nueva campaña de ciberespionaje, utilizando un informe técnico de investigación de amenazas como señuelo. El objetivo del grupo es recopilar inteligencia encubierta, y ha utilizado señuelos de spear-phishing para entregar RokRAT y otros backdoors en el pasado. Los investigadores han descubierto nuevos archivos maliciosos en esta campaña, sugiriendo que ScarCruft está ajustando su modus operandi para evitar la detección.
