Mandiant "estima con una certidumbre razonable" que APT45 está volcado en el desarrollo de programas de secuestro de datos.
Una firma de ciberseguridad y varios organismos gubernamentales estadounidenses elevaron el nivel de alerta relativo al grupo de piratas informáticos Andariel, ligado al régimen norcoreano, por su creciente foco en desarrollar programas de secuestro de datos y su interés en atacar infraestructuras críticas.
Estas agencias, entre las que se incluye el FBI, y la empresa Mandiant, subsidiaria de seguridad cibernética de Google, han realizado un seguimiento conjunto en los dos últimos años que les ha llevado a calificar desde hoy a esta unidad, popularmente conocida como Andariel, con la etiqueta de "Grupo de amenaza Persistente Avanzada" (APT por sus siglas en inglés) y a otorgarle la nomenclatura APT45.
Mandiant "estima con una certidumbre razonable" que APT45 está volcado en el desarrollo de programas de secuestro de datos, el llamado "ransomware", software que infecta un sistema operativo y restringe o "secuestra" el acceso a determinados archivos del mismo, lo que permite al grupo responsable solicitar un rescate para "liberar" esos datos, según un informe publicado hoy.
APT45 ha comenzado a ejecutar gradualmente en los últimos años cada vez más de estas operaciones de "secuestro" que tienen una motivación financiera, y "el presunto desarrollo y despliegue de 'ransomware' por parte del grupo lo distingue de otros operadores norcoreanos", explica el informe.
Dada la información disponible, se cree que esta motivación monetaria buscaría no solo financiar sus propias operaciones "sino generar también fondos para otras prioridades de Estado norcoreanas", como sus programas de armas de destrucción masiva.
Andariel tiene historial de ataques frecuentes a infraestructuras globales
A su vez Andariel, que también ha sido llamado Onyx Sleet, Stonefly o Silent Chollima y cuyas actividades han sido ligadas en ocasiones a las del famoso cibergrupo Lazarus, ha sido la unidad norcoreana que Mandiant ha observado "atacando infraestructuras críticas con mayor frecuencia".
De hecho, el grupo está detrás de una de los pocas operaciones contra infraestructuras críticas reconocidas públicamente, el ataque de 2019 contra la planta nuclear de Kudankulam, en India, que algunos expertos creen que pudo llegar a afectar a los sistemas operativos de los propios reactores de fisión.
Además del sector nuclear, la firma estadounidense ha hallado indicios de que Andariel ha atacado empresas y organismos relacionados con generación eléctrica, transportes o telecomunicaciones, además de instituciones educativas o financieras, firmas farmacéuticas o de equipamiento médico y empresas de los sectores químico, biotecnólogico o de defensa en países como Brasil, Francia, EU, Reino Unido o Nigeria.
Los programas malignos que emplea APT45 muestran características comunes a otros grupos norcoreanos como la reutilización de código o contraseñas, y a su vez hace uso de una serie de herramientas "que son relativamente distintas" de otros cúmulos de actividad cibernética norcoreana.
Muestras de estos programas indican que el grupo comenzó a operar como pronto en 2009, y que se comenzó a observar un foco de ataques destinados a espiar a organismos públicos y al sector de la defensa en 2017, según Mandiant.
Robo de tecnologías armamentísticas, el objetivo de Andariel
Por ejemplo, entre 2022 y 2023, Andariel, que según Mandiant está coordinada por la Dirección General de Reconocimiento (que depende a su vez del Estado Mayor norcoreano), robó información sobre tecnologías clave a contratistas de defensa surcoreanos.
Entre esos datos se cree que hay información relativa a un armamento de defensa aérea desarrollado por Hanwha Aerospace y bautizado como "Proyecto Star Wars" que el Gobierno de Seúl quiere desplegar pronto para contrarrestar drones norcoreanos y que en el futuro podría llegar a tener utilidad para interceptar incluso misiles balísticos.
Ya en esa serie de ataques APT45 mostró que sus actividades tienen ahora en gran parte objetivos financieros, ya que se apoderó de unos 340.000 dólares en "rescates" exigidos a otras empresas e instituciones surcoreanas.
Mandiant prevé que el grupo mantenga esta doble vertiente -espionaje y extorsión- en sus futuras operaciones.
Subraya también que "si bien varios grupos del nexo de la República Popular Democrática de Corea (nombre oficial de Corea del Norte) se centraron en (atacar sectores como) la atención sanitaria y los productos farmacéuticos durante las etapas iniciales de la pandemia de COVID-19, APT45 ha seguido centrándose en esta vertiente durante más tiempo que otros grupos".