Seúl. -- Un grupo de jáqueres vinculado con Corea del Norte ha utilizado cuentas de KakoTalk robadas para propagar "malware" en una serie de ciberataques recientes, destacando una nueva táctica de distribución, mostró, este lunes, un informe publicado por un instituto de ciberseguridad surcoreano.
Según el informe publicado por Genians Security Center, se descubrió que Konni, el grupo de jáqueres vinculado a Kimsuky y a otros grupos de jáqueres patrocinados por Pyongyang, ha llevado a cabo una campaña de amenazas persistentes avanzadas (APT, según sus siglas en inglés), utilizando correos electrónicos de "spear-phishing" y vulnerando cuentas de KakaoTalk para infectar los sistemas de las víctimas.
El grupo envió correos electrónicos de "spear-phishing" haciéndose pasar como notificaciones para nombrar al receptor como profesor de derechos humanos norcoreanos, que incluían un enlace malicioso a fin de ganar el acceso remoto al ordenador personal de la víctima. El "spear-phishing" es un tipo de estafa en línea dirigido a un individuo, grupo u organización específica.
El informe señaló que se utilizó el "software" para ordenadores personales (PC) de KakaoTalk, obligando a la víctima a servir como un intermediario para ataques adicionales.
Después de permanecer desapercibidos en el sistema durante un momento, los actores consiguen el acceso a la lista de contactos de KakaoTalk de la víctima, y redistribuyen los archivos maliciosos a través de las cuentas comprometidas.
El informe dijo que esto hace que la amenaza sea especialmente grave, ya que va más allá de un simple ataque de "spear-phishing" y representa un ataque APT que se difunde combinando la propagación basada en la confianza mediante el uso indebido de sesiones de cuentas.
