El grupo de cibercriminales Lazarus, vinculado a Corea del Norte, dirige su ofensiva contra contratistas del sector aeroespacial y de defensa en todo el mundo a través de redes sociales como LinkedIn, WhatsApp y Slack.

ESET ha presentado, en la conferencia anual del grupo de ciberseguridad ESET World, una nueva investigación sobre Lazarus. El director del departamento de investigación de amenazas, Jean-Ian Boutin, ha repasado los ataques llevados a cabo por el grupo contra contratistas de defensa entre finales de 2021 y marzo de 2022.

Los ataques más relevantes de Lazarus registrados por la telemetría de ESET se centraron tanto en compañías situadas en España, Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania, y en Brasil.

A principios de 2020, los investigadores de ESET alertaron sobre una campaña lanzada por un subgrupo de Lazarus contra contratistas de los sectores de defensa y aeroespacial de Europa.

La operación, que recibió de ESET el nombre de ‘In(ter)ception’, se desmarcó del resto por su utilización de las redes sociales, como LinkedIn. Gracias a ellas, los atacantes se ganaban la confianza de sus víctimas, a los que enviaban ‘malwares’ enmascarados como descripciones y solicitudes de empleo.

Las compañías afectadas en aquel entonces eran de Brasil, República Checa, Catar, Turquía y Ucrania.

Los tipos de ‘malware’ empleados variaban según la campaña, pero la estrategia de los atacantes era siempre la misma: un falso reclutador que contacta a un potencial empleado a través de LinkedIn al que, eventualmente, envía un programa malicioso.

ESET afirma que Lazarus ha continuado utilizando esta estrategia y, además, que han incorporado elementos de campañas de contratación legítimas para proyectar una apariencia de mayor veracidad ante sus víctimas.

El grupo de cibercriminales ha llevado sus tácticas más allá de LinkedIn y, según los investigadores, han utilizado también aplicaciones y programas como WhatsApp y Slack en sus campañas.

La investigación destaca que, pese a que el objetivo principal de Lazarus es el ciberespionaje, el grupo también ha intentado, sin éxito, exfiltrar datos a cambio de dinero. Para ello, han utilizado varias herramientas como, por ejemplo, un modo de usuario capaz de aprovechar un controlador vulnerable de Dell y así escribir en la memoria ‘kernel’ del equipo. De esta manera, pretendían eludir su seguridad.