Google ha descubierto una campaña de piratería de varios meses por parte de la RPDC. Para hacer esto, los hackers de Corea del Norte crearon un sitio web falso. En este sitio lo compartieron en las redes sociales.

Una imagen de las cuentas de los especialistas en las redes sociales que fueron afectados por el ataque
Perfiles de los investigadores y piratas

Por lo tanto, los atacantes de la RPDC querían reclutar en secreto investigadores de todo el mundo. A veces, el esquema resultó ser exitoso: los piratas informáticos pudieron ser hackeados gracias a las vulnerabilidades de día cero en Windows y Chrome.

Hackers norcoreanos vs investigadores y especialistas en ciberseguridad

La mayoría de las veces los piratas informáticos norcoreanos utilizaron cuentas falsas de Twitter y LinkedIn para comunicarse con los investigadores. También publicaron enlaces a un blog que supuestamente analizaba y publicaba vulnerabilidades de día cero disponibles. Sin embargo, el sitio resultó ser falso y las vulnerabilidades eran ficticias: al usar el recurso los piratas informáticos distribuyeron archivos maliciosos a través de los cuales piratearon a los investigadores.

Después de ser publicado por Google, varios investigadores dijeron que han sido atacados por hackers norcoreanos. Algunos de ellos recibieron un archivo malicioso. No lo instalaron, sino que lo ejecutaron en una máquina virtual. De esta manera se puede investigar y probar cualquier archivo sospechoso de forma segura.

El fundador de la empresa de ciberseguridad Hyperion Gray, Alejandro Cáceres, dijo que todavía estaba pirateado. Los atacantes contactaron con él a través de Twitter y le enviaron un archivo que contenía malware. Ahora Cáceres ofrece 80.000 dólares a todo aquel que proporcione información sobre la identidad de los atacantes.

Según Google, en algunos casos los piratas han podido hackear objetivos simplemente obligándolos a visitar un sitio con malware. Al hacerlo, los investigadores utilizaron las últimas versiones de Windows 10 y Chrome con los últimos parches de seguridad. Es probable que los hackers norcoreanos han aprovechado de vulnerabilidades desconocidas.

Uno de los sitios utilizados por los piratas informáticos sigue funcionando, pero ahora está marcado en las búsquedas de Google como “peligroso de visitar”. Al mismo tiempo, los propios investigadores compartieron enlaces con él en Twitter lo que ayudó a piratear a sus colegas.

Una captura de búsqueda de google con uno de los sitios que usaban los piratas
La marca de google de que el sitio puede ser peligroso para el usuario

Portada: Tecno Geek