Cibercriminales usaron WhatsApp y LinkedIn para atacar empresas militares y aeroespaciales

El grupo de cibercriminales Lazarus dirige su ofensiva contra contratistas del sector aeroespacial y de defensa en todo el mundo a través de redes sociales como LinkedIn, WhatsApp y Slack.

Los investigadores de la compañía de software especializada en ciberseguridad ESET han presentado una nueva investigación sobre el grupo de ciberdelincuentes Lazarus, vinculado con el régimen norcoreano, durante la conferencia anual de la entidad, ESET World.

MIRA: LinkedIn, el nuevo objetivo de los ciberdelincuentes y sus campañas de phishing

El informe ha sido presentado por el director del departamento de ESET dedicado a la investigación de amenazas, Jean-Ian Boutin, quien ha repasado los ataques llevados a cabo por el grupo contra contratistas de defensa entre finales de 2021 y marzo de 2022.

Los ataques más relevantes de Lazarus registrados por la telemetría de ESET en esas fechas se centraron tanto en compañías europeas situadas en España, Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania como en latinoamericanas, en el caso de Brasil.

MIRA: Utilizan la Inteligencia artificial para acabar con el tráfico excesivo

A principios de 2020, los investigadores de ESET ya alertaron sobre una campaña lanzada por un subgrupo de Lazarus contra contratistas de los sectores de defensa y aeroespacial de Europa.

La operación, que recibió de ESET el nombre de ‘In(ter)ception’, se desmarcó del resto por su utilización de las redes sociales, como LinkedIn. Gracias a ellas, los atacantes se ganaban la confianza de sus víctimas, a los que enviaban ‘malwares’ enmascarados como descripciones y solicitudes de empleo.

MIRA: Desaparece de la PlayStore ‘Películas y TV’ y ahora se integra en Google TV

Las compañías afectadas en aquel entonces eran de Brasil, República Checa, Catar, Turquía y Ucrania. En un primer momento, los investigadores pensaron que el ataque estaba dirigido únicamente a las empresas europeas, pero concluyeron que la campaña era mucho mayor, al rastrear a varios subgrupos de Lazarus que realizaron ataques muy similares.

Los tipos de malware empleados variaban según la campaña, pero la estrategia de los atacantes era siempre la misma: un falso reclutador que contacta a un potencial empleado a través de LinkedIn al que, eventualmente, envía un programa malicioso.

MIRA: Brasil da plazo de 72 horas para que Apple explique problema con AirPods

ESET afirma que Lazarus ha continuado utilizando esta estrategia y, además, que han incorporado elementos de campañas de contratación legítimas para proyectar una apariencia de mayor veracidad ante sus víctimas.

El grupo de cibercriminales ha llevado sus tácticas más allá de LinkedIn y, según los investigadores, han utilizado también aplicaciones y programas como WhatsApp y Slack en sus campañas.

La investigación destaca que, pese a que el objetivo principal de Lazarus es el ciberespionaje, el grupo también ha intentado, sin éxito, exfiltrar datos a cambio de dinero. Para ello, han utilizado varias herramientas como, por ejemplo, un modo de usuario capaz de aprovechar un controlador vulnerable de Dell y así escribir en la memoria ‘kernel’ del equipo. De esta manera, pretendían eludir su seguridad.