A raíz de una investigación presentada por la empresa de ciberseguridad Proofpoint, se han conocido las últimas técnicas maliciosas desarrolladas por el grupo de ciberdelincuentes TA444, el cual se encuentra financiado por el gobierno de Corea del Norte. Este colectivo ha encontrado en el blockchain y las criptodivisas una nueva y eficiente vía de financiación, abandonando por completo otras acciones del pasado como el atraco de bancos o la solicitud de capital a inversores extranjeros.
El sector tecnológico está evolucionando de un modo frenético al mismo ritmo que las criptomonedas, y esto lleva a TA444 a comportarse de un modo similar a una startup tecnológica. Se dedican a desarrollar campañas de payloads en diferentes plataformas y comprobar si sus ataques funcionan o no para poder mejorarlos. Esto se debe a que existe un elemento de desarrollo de malware intrínseco en cada una de las acciones que acometen.
TA444 ha variado su método inicial que era mediante una cadena de suministro orientada a archivos LNK y una cadena basada en documentos con plantillas remotas y denominada DangerousPassword, CryptoCore o SnatchCrypto. Pero como bien comenta Proofpoint, estos ciberdelincuentes han variado y mejorado sus estrategias para alcanzar un mayor impacto y rentabilidad en sus ataques.
TA444, ciberdelincuentes con una estrategia de marketing
Se encuentra centrada en convencer a las víctimas de que hagan clic en enlaces maliciosos después de haberles presentado un contenido atractivo como análisis de blockchains de criptomonedas, ofertas de trabajo prestigiosas o ajustes salariales. Posteriormente se valen de herramientas de email marketing como SendInBlue y SendGrid para interactuar con el público, lo que permite conectar a la víctima con la plataforma interna de TA444.
Además de los citados enlaces, las redes sociales como LinkedIn son otro imán para introducir en los usuarios enlaces con malware. Nos encontramos ante un grupo altamente cualificado, pues está capacitado para comunicarse en diversos idiomas (español, inglés, polaco y japonés).
Se desconoce cuál es el método exacto implantado por TA444 o cuáles son las ‘frases gancho’ o hackathon empleadas, pero podrían basarse en alusiones a archivos de instalación MSI, discos duros virtuales, ISO para omitir MoTW o HTML compilado, entre otros conceptos llamativos para su público objetivo.
A comienzos de 2022, los investigadores de Proofpoint encontraron una desviación de las operaciones rutinarias cometidas por los ciberdelincuentes del grupo TA444 a través de una campaña basada en la recopilación de datos muy básica. Y es que un dominio TA444 C2 se dedicaba a enviar correos electrónicos de phishing de OneDrive con errores tipográficos a diferentes usuarios de Canadá y Estados Unidos. Al hacer clic en una URL de SendGrid se les redirigía a una página de recolección de credenciales. En todos los correos electrónicos se empleaba el mismo encabezado y la dirección mantenía idéntico dominio.
Las conclusiones de sus acciones
Según datos de Proofpoint, se estima que TA444 podría haber defraudado a sus víctimas cientos de millones de euros, de tal modo que en 2021 estos ciberdelincuentes llegaron a robar 400 millones de euros en criptomonedas y activos relacionados. En 2022 se superaron esas cifras y alcanzaron los 1.000 millones de euros, pues en un único ataque obtuvieron 500 millones.
A pesar de tener una mentalidad empresarial de startup, TA444 sigue buscando fondos blanqueables para el gobierno de Corea del Norte y desarrollando nuevas estrategias que sean más efectivas para alcanzar sus objetivos. De hecho, han llegado a imitar el ecosistema de la ciberdelincuencia probando nuevas cadenas de infección que les permitiesen ampliar sus ingresos.
No cabe duda que su vinculación con el gobierno de Kim Jong-un es latente. De hecho, el Departamento del Tesoro de los Estados Unidos impuso sanciones contra dos servicios de mezcla de monedas, Tornado Cash y BlenderIO, por permitir que los operadores de TA444 blanqueasen 120 millones de dólares en criptomonedas robadas a varias entidades.