Un actor de amenazas recién descubierto de Corea del Norte, conocido como Moonstone Sleet, ha sido identificado como el responsable de ataques cibernéticos dirigidos a individuos y organizaciones en varios sectores, incluyendo software, tecnología de la información, educación y defensa. Este actor utiliza ransomware y malware personalizado previamente asociado al grupo Lazarus.
El equipo de inteligencia de amenazas de Microsoft señaló que Moonstone Sleet establece empresas y oportunidades de trabajo falsas para interactuar con posibles objetivos, utiliza versiones troyanizadas de herramientas legítimas, desarrolla un juego malicioso y distribuye un nuevo ransomware personalizado.
Microsoft identifica a Moonstone Sleet como una entidad alineada con el estado que inicialmente compartía tácticas similares con el Grupo Lazarus, aunque posteriormente desarrolló su propia identidad a través de infraestructuras y técnicas distintas.
Las similitudes con Lazarus incluyen el extenso reuso de códigos de malware conocidos como Comebacker, utilizado por el Grupo Lazarus recientemente en febrero de este año para establecer contacto con un servidor de control y comando y recibir cargas adicionales.
Además, Moonstone Sleet busca empleo en posiciones de desarrollo de software en múltiples compañías legítimas, probablemente intentando generar ingresos ilícitos para el país afectado por sanciones o obtener acceso encubierto a organizaciones.
Se han observado cadenas de ataques que involucran el uso de versiones modificadas de PuTTY, distribuidas a través de LinkedIn, Telegram y plataformas de desarrollo independiente.
Los paquetes npm maliciosos, distribuidos a través de LinkedIn o sitios de desarrollo independiente, a menudo disfrazados como empresas ficticias, están configurados para conectarse a una dirección IP controlada por el actor y dejar cargas similares a SplitLoader, o facilitar el robo de credenciales del proceso de Subsistema de Seguridad Local de Windows (LSASS).
Moonstone Sleet también ha utilizado un juego malicioso llamado DeTankWar, distribuido a través de correo electrónico y plataformas de mensajería, mientras establece sitios web y cuentas falsas en X para agregar una capa de legitimidad.
El ransomware personalizado llamado FakePenny es la última herramienta desplegada por el adversario, utilizado contra una compañía de tecnología de defensa en abril de 2024, exigiendo un rescate de $6.6 millones en Bitcoin.
La amplitud de tácticas de Moonstone Sleet es notable no solo por su eficacia, sino por su evolución a lo largo de los años para cumplir los objetivos cibernéticos de Corea del Norte, según Microsoft.
La revelación se produce después de que Corea del Sur acusara a su contraparte del norte, en particular al Grupo Lazarus, de robar 1,014 gigabytes de datos y documentos de una red judicial entre enero de 2021 y febrero de 2023.
Vía The Hacker News
