APT Kimsuky: se descubren posibles conexiones con Corea del Norte

Durante varios meses, hemos estado haciendo un seguimiento de una operación de ciberespionaje contra importantes figuras de Corea del Sur. Hay muchas razones por las que esta campaña se considera extraordinaria en su ejecución y logística. Todo comenzó un día en que encontramos un programa espía poco complejo que se comunicaba con su “dueño” mediante un servidor público de correos electrónicos. Esto es algo que los escritores de virus amateur suelen hacer.

Pero algunas cosas atrajeron nuestra atención:

• El servidor público de correos electrónicos en cuestión era búlgaro: mail.bg.
• La ruta de compilación de cadenas de caracteres contenía caracteres coreanos.

Algunas de las cadenas de caracteres de la ruta completa del malware estaban en coreano:

D:rsh공격UAC_dll(완성)Releasetest.pdbLa palabra “rsh”, en todas sus apariciones, es un acortamiento de “Remote Shell”, y las palabras en coreano se pueden traducir como “ataque” y “término”. Por ejemplo:

D:rshATTACKUAC_dll(COMPLETION)Releasetest.pdbLogramos identificar varios de los objetivos del ataque. Estas son algunas de las organizaciones a las que los cibercriminales les interesaba atacar:

El Instituto Sejong

El Instituto Sejong es una organización privada de interés público y sin fines de lucro, y uno de los principales núcleos en los que los expertos de Corea del Sur se dedican a investigar estrategias de seguridad nacional, unificación, asuntos interiores y economía política internacional.

Instituto Coreano para el Análisis de Defensas (KIDA)

El KIDA es un instituto exhaustivo de investigaciones de defensa que cubre un amplio rango de problemas relacionados con la defensa de la nación. El KIDA se organiza en siete centros de investigación: El Centro de Seguridad y Estrategia; Centro de Organización Militar; Centro de Desarrollo de Recursos Humanos; Centro de Administración de Recursos; Centro de Estudios de Sistemas de Armamentos; Centro de Estudios de Sistemas Informáticos y el Centro de Modelado y Simulación. KIDA también tiene un Grupo de Consultoría y varios departamentos complementarios. La misión del KIDA es contribuir a la creación racional de regulaciones de defensa haciendo investigaciones y análisis intensivos y sistemáticos de los problemas de seguridad.

Ministerio de Unificación

El Ministerio de Unificación es un departamento ejecutivo del gobierno surcoreano, que tiene el deber de buscar la reunificación de Corea. Sus principales funciones son: establecer políticas con Corea del Norte, coordinar diálogos dentro de Corea, buscar la cooperación inter-coreana y educar al público sobre la importancia de la reunificación.

La Marina Mercante de Hyundai

La Marina Mercante de Hyundai es una compañía de logísticas surcoreana que ofrece servicios de transporte de contenedores en todo el mundo.

Hay indicaciones de que los ordenadores de los “Seguidores de la unificación coreana” (http://www.unihope.kr/ ) también están comprometidos. Entre otras organizaciones que también tomamos en cuenta, 11 se encuentran en Corea del Sur y dos en China.

Muchos programas maliciosos de menor importancia participan de esta operación, pero cada uno implementa una única función espía. Encontramos bibliotecas básicas que son las responsables de la comunicación común con el jefe de campaña y módulos adicionales que realizan las siguientes funciones:

• Registro de las teclas pulsadas
• Recolección de los listados del directorio
• Robo de documentos HWP
• Descarga y ejecución de controles remotos
• Acceso a distancia

Las pistas que encontramos nos permiten suponer que los ataques se originan en Corea del Norte. Puedes encontrar el informe detallado de la operación en nuestro artículo “La Operación ‘Kimsuky’: una APT norcoreana?”.