Los especialistas en ciberseguridad de Proofpoint han revelado detalles sobre las operaciones de TA427, también conocido como Emerald Sleet, APT43, THALLIUM o Kimsuky, un grupo alineado con Corea del Norte y que opera en apoyo de su agencia de espionaje, la Oficina General de Reconocimiento. Este grupo es uno de los más activos en ser monitorizados por Proofpoint, destacándose por sus intensas campañas de phishing dirigidas a obtener información crítica sobre desarme nuclear, sanciones, y políticas exteriores de Estados Unidos y Corea del Sur.
En los últimos meses, TA427 ha evolucionado sus métodos de ataque, incluyendo tácticas de suplantación de identidad y el uso de balizas web para perfilar de manera más efectiva a sus objetivos. Estos ciberdelincuentes han explotado políticas laxas de autenticación y notificación de mensajes basados en dominios (DMARC), permitiéndoles hacerse pasar por varias identidades en comunicaciones aparentemente benignas para cultivar relaciones con sus objetivos durante semanas o meses.
La investigación de Proofpoint ha demostrado cómo TA427 logra sus objetivos de inteligencia no solo provocando infecciones, sino también solicitando directamente opiniones o análisis a sus objetivos. Este enfoque directo facilita la recolección de información vital que puede ser utilizada para mejorar la selección de objetivos dentro de las organizaciones víctimas y para establecer contactos más eficaces en futuras comunicaciones.
El uso de balizas web, una técnica empleada también por otros actores de amenazas persistentes avanzadas, ha permitido a TA427 incrustar objetos hipervinculados invisibles en los correos electrónicos que, al activarse, intentan recuperar un archivo de imagen benigno desde un servidor controlado por el grupo. Este método les permite validar si los correos electrónicos objetivo están activos y recopilar información sobre los entornos de red de los destinatarios, incluyendo direcciones IP y detalles sobre el dispositivo del usuario.
Los expertos de Proofpoint concluyen que «la actividad de TA427 busca obtener información e influencia, algo extremadamente difícil de cuantificar. Durante años, este grupo ha simulado ser académicos, periodistas e investigadores para ganarse la confianza de expertos y penetrar en sus organizaciones con el fin de recopilar datos estratégicos a largo plazo. Con éxito demostrado, TA427 continúa adaptándose rápidamente, sin mostrar signos de desaceleración o pérdida de agilidad en sus tácticas o en el establecimiento de nuevas infraestructuras y personajes».
