El grupo de ciberdelincuencia TA406, asociado al Gobierno de Corea del Norme, ha sido observado dirigiéndose a entidades gubernamentales en Ucrania para recolectar credenciales y distribuir malware mediante campaña de phishing. Desde Proofpoint han destacado este interés por Ucrania se debe a que históricamente se ha centrado en entidades rusas con fines de recopilación de información estratégica. El contenido de estos mensajes tenía que ver en gran medida en los acontecimientos recientes de la política nacional ucraniana, según la misma investigación de esta empresa de ciberseguridad.
Estos ciberdelincuentes se aprovechaban de remitentes procedentes de emails gratuito para hacerse pasar por miembros de think tanks para convencer a sus víctimas. El grupo TA406 ha mostrado preferencia por archivos HTML y CHM para ejecutar PowerShell incrustado en sus campañas de despliegue de malware. En uno de los correos electrónicos analizados había un enlace a un servicio de alojamiento de archivos llamado MEGA, que descargaba un archivo RAR protegido por contraseña. Al ejecutarlo, se iniciaba una cadena de infección hasta realizar un amplio reconocimiento en el host de destino. Como peculiaridad, el ciberdelincuente envió en este caso varios correos electrónicos de phishing en días consecutivos en los que el objetivo no hizo clic en el enlace, preguntándole si había recibido los emails y si descargaría los archivos.
Antes de las campañas de distribución de malware de TA406, Proofpoint observó también que estos mismos ciberdelincuentes intentaban recopilar credenciales enviando mensajes falsos de alerta de seguridad de Microsoft a entidades gubernamentales ucranianas desde cuentas de Proton Mail. Según Proofpoint, estos mensajes afirmaban que la cuenta del objetivo había experimentado un inicio de sesión inusual desde varias direcciones IP y solicitaban al objetivo que verificara esta acción a través de un enlace a un dominio comprometido, que ya había sido utilizada para recolectar credenciales, alineándose con la actividad histórica de TA406.
“Con estas acciones maliciosas, TA406 podría estar evaluando las perspectivas a medio plazo del conflicto por la invasión rusa de Ucrania. Corea del Norte se comprometió a enviar tropas para ayudar a Rusia en otoño de 2024, por lo que es muy probable que esté recopilando inteligencia para determinar el riesgo actual para las fuerzas norcoreanas que ya se encuentren en dichas operaciones, así como la probabilidad de que Rusia solicite más tropas o armamento”, analiza el equipo de investigadores de Proofpoint. “A diferencia de los grupos de ciberdelincuencia rusos, a los que probablemente se les ha encomendado la recopilación de información táctica sobre el campo de batalla y la selección de objetivos de las fuerzas ucranianas, TA406 se ha centrado en la recopilación de inteligencia estratégica y política”.
