Gli hacker nordcoreani stanno impersonando giornalisti per raccogliere informazioni strategiche che potrebbero aiutare a guidare le decisioni del paese. I ricercatori di SentinelLabs hanno rivelato martedì che hanno collegato una campagna di ingegneria sociale che mira a esperti in questioni nordcoreane a un gruppo di minacce persistenti avanzate (APT) nordcoreano noto come Kimsuky.
Il modus operandi di Kimsuky
Il gruppo Kimsuky, noto anche come APT43, Thallium e Black Banshee, opera dal 2012 e si distingue per l’uso di ingegneria sociale e email di phishing mirate per raccogliere informazioni sensibili per conto del regime nordcoreano. La recente campagna di ingegneria sociale di Kimsuky ha preso di mira gli abbonati di NK News, un sito web americano a pagamento che fornisce storie e analisi sulla Corea del Nord.
Tecniche di attacco
Kimsuky ha impersonato Chad O’Carroll, il fondatore di NK News, per inviare un link a Google Docs fasullo agli abbonati di NK News, che reindirizzava a un sito web malevolo creato appositamente per catturare le credenziali Google della vittima. In alcuni casi, gli hacker di Kimsuky hanno anche inviato un documento Microsoft Office armato che esegue il malware ReconShark, capace di esfiltrare informazioni come i meccanismi di rilevamento in uso su un dispositivo e informazioni sul dispositivo stesso.
Obiettivi e conseguenze
Ottenere l’accesso alle credenziali degli utenti di NK News fornirebbe agli hacker nordcoreani “intuizioni preziose su come la comunità internazionale valuta e interpreta gli sviluppi relativi alla Corea del Nord, contribuendo alle loro iniziative più ampie di raccolta di informazioni strategiche”, ha scritto Aleksandar Milenkoski, ricercatore senior di minacce presso SentinelLabs.