Un nuovo operatore cyber nordcoreano, denominato APT43, è stato associato a una serie di campagne avviate dal 2018 volte a raccogliere informazioni strategiche in linea con gli interessi geopolitici di Pyongyang. La società Mandiant di proprietà di Google afferma che le motivazioni del gruppo sono sia legate allo spionaggio sia al guadagno finanziario, utilizzando tecniche come il furto di credenziali e l’ingegneria sociale.
Obiettivi e metodi dell’APT43
Le campagne finanziarie di APT43 sono un tentativo da parte dell’attore minaccioso di generare fondi per sostenere la “missione primaria di raccogliere informazioni strategiche”. I modelli di vittimologia suggeriscono che gli obiettivi si concentrano principalmente su Corea del Sud, Stati Uniti, Giappone ed Europa, abbracciando settori come governo, istruzione, ricerca, istituti politici, servizi aziendali e manifatturiero.
Collegamenti con agenzie nordcoreane e altri gruppi di hacker
Le attività dell’APT43 sono state associate al Reconnaissance General Bureau (RGB), l’agenzia di intelligence estera della Corea del Nord, indicando sovrapposizioni tattiche con un altro gruppo di hacker noto come Kimsuky (aka Black Banshee, Thallium o Velvet Chollima). Inoltre, sono stati osservati l’utilizzo di strumenti precedentemente associati ad altri gruppi avversari subordinati all’interno dell’RGB, come il Lazarus Group (aka TEMP.Hermit).
Le tecniche di attacco utilizzate da APT43
Le catene di attacco dell’APT43 prevedono email di spear-phishing contenenti esche personalizzate per attirare le vittime. Questi messaggi vengono inviati utilizzando identità fasulle che si spacciano per individui chiave all’interno dell’area di competenza della vittima per guadagnarne la fiducia. Il gruppo è anche noto per sfruttare le liste di contatti rubate da individui compromessi per identificare ulteriori bersagli e rubare criptovalute per finanziare la propria infrastruttura di attacco.
