C’è un nuovo gruppo di hacker della Corea del Nord, che ha cominciato a lanciare cyber attacchi dallo scorso mese.
Lo rilevano McAfee e Recorded Future. La formazione è stata rilevata all’inizio del mese per un’aggressione informatica ad alcuni defezionisti. Usa le TTP dei più noti Lazarus, ma le tecniche sono diverse. Incluse il leveraging di PowerShell, HTA, JavaScript e Python. Il cyber army di Pyongyang, infatti, negli ultimi 8 anni non le ha mai impiegate. Ciò che accomuna i due gruppi, invece, è il bersaglio: le piattaforme di exchange di cryptocurrency e le istituzioni sociali in Corea del Sud. Però questi sono obiettivi “di stato”, assegnati a tutti i soldati informatici dai vertici del regime di Kim Jong-un. Questo, che per il momento ha congelato le attività nel cyberspazio a seguito dell’avvio di colloqui con Seul, punta a fare cassa sul web per finanziare i programmi ICBM e nucleare.
Pyongyang ha interrotto le cyber campagne per rubare cryptocurrency. Ma se il dialogo con Seul fallisse, è pronta con Lazarus a riavviarle immediatamente
Peraltro, la Corea del Nord è pronta a riavviare la campagna di cyber attacchi contro le piattaforme di exchange di cryptocurrency. Recorded Future ha reso noto l’esistenza di una campagna, che al momento non è ancora attiva. E’ di tipo spear-phishing e usa la vulnerabilità CVE-2017-8291 Ghostscript dell’Hangul Word Processor, molto popolare in Corea del Sud. Al momento è tutto fermo, ma Pyongyang può attivare la cyber offensiva in qualunque momento e con facilità. In questo caso la mano è quella di Lazarus. O dei suoi sottogruppi BlueNoroff e Andariel. Gli hacker di stato di Kim Jong-un da tempo prendono di mira gli scambi di criptovaluta, allo scopo di raccogliere fondi per il regime asiatico. Prima (almeno dal 2016) attaccavano istituzioni finanziarie per rubare denaro e generare risorse. Poi, con il boom della moneta digitale, hanno concentrato la loro attenzione su di essa.
