Si chiamano “Group 123” i nuovi hacker della Corea del Nord, che dalla fine del 2017 stanno compiendo una serie di cyber attacchi.
Lo hanno scoperto i ricercatori della sicurezza informatica del Talos Security Intelligence and Research Group di Cisco. Alla formazione legata a Pyongyang sono state attribuite sei campagne malevole, che hanno colpito la Corea del Sud l’ultimo mese dell’anno scorso e a gennaio del 2018. Queste sono Golden Time, Evil New Year, Are You Happy?, FreeMilk, North Korea Human Right e Evil New Year 2018. In tutti i casi la firma è stato l’uso del tool ROKRAT per l’amministrazione remota. Ma non solo. Sono state impiegate – tra le altre cose – anche una vulnerabilità dell’Hangul Word Processor (HWP) e un browser stealer in alcuni casi. La base in tutte le cyber aggressioni è comunque lo spear phishing delle mail.
Come attacca il cyber army di Pyongyang
L’ultima cyber campagna degli hacker della Corea del Nord al momento è Evil New Year 2018. E’ il reboot di un’iniziativa analoga che l’esercito informatico di Pyongyang lanciò tra novembre del 2016 e gennaio del 2017, ricorda Talos. Questa, lanciata il 2 del mese, usa come esca documenti HWP malevoli, teoricamente scritti dal ministero della Riunificazione sud coreano. Il testo afferma di offrire un’analisi sul discorso di fine anno di Kim Jong-un, tema di grande interesse per la popolazione del paese asiatico. In particolare a livello governativo, presumibilmente preso di mira dal cyber army della DPRK. In realtà il documento sfrutta una vulnerabilità nel formato EPS per scaricare ed eseguire uno shellcode nascosto in una immagine di un sito compromesso. A firma del “Group 123” parte il download di una variante di ROKRAT.