Un grupo de piratas informáticos de Corea del Norte explotó a principios de agosto un fallo desconocido en los navegadores basados en Chrome para atacar a organizaciones con el objetivo de robar criptomonedas, según Microsoft.
En un informe publicado el viernes, los investigadores de ciberseguridad del gigante tecnológico afirmaron haber visto por primera vez pruebas de las actividades de los piratas informáticos el 19 de agosto, y afirmaron que los piratas informáticos estaban afiliados a un grupo llamado Citrine Sleet, conocido por tener como objetivo el sector de las criptomonedas.
Según el informe, los hackers explotaron un fallo en un motor central dentro de Chromium, el código subyacente de Chrome y otros navegadores populares, como Edge de Microsoft. Cuando los piratas informáticos explotaron la vulnerabilidad, se trataba de un día cero, lo que significa que el fabricante del software, en este caso Google, desconocía el fallo y, por tanto, no tuvo tiempo de publicar una solución antes de su explotación. Google parcheó el fallo dos días después, el 21 de agosto, según Microsoft.
El portavoz de Google, Scott Westover, declaró que Google no tenía más comentarios que confirmar que el fallo había sido parcheado.
Microsoft dijo que ha notificado a «clientes afectados y comprometidos», pero no proporcionó más información sobre quién fue el objetivo, ni cuántos objetivos y víctimas fueron blanco de esta campaña de hacking.
Chris Williams, portavoz de Microsoft, declinó decir cuántas organizaciones o empresas se vieron afectadas.
Los investigadores escribieron que Citrine Sleet «tiene su sede en Corea del Norte y se dirige principalmente a instituciones financieras, en particular a organizaciones y personas que gestionan criptomonedas, para obtener beneficios económicos», y el grupo «ha llevado a cabo un amplio reconocimiento de la industria de las criptomonedas y de las personas asociadas a ella» como parte de sus técnicas de ingeniería social.
«El actor de la amenaza crea sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomoneda y los utiliza para distribuir solicitudes de empleo falsas o atraer a los objetivos para que descarguen una cartera de criptomoneda armada o una aplicación de comercio basada en aplicaciones legítimas», se lee en el informe. «Citrine Sleet infecta más comúnmente a los objetivos con el malware troyano único que desarrolló, AppleJeus, que recopila la información necesaria para tomar el control de los activos de criptomoneda de los objetivos.»
El ataque de los hackers norcoreanos comenzó engañando a una víctima para que visitara un dominio web bajo su control. A continuación, debido a otra vulnerabilidad en el núcleo de Windows, los piratas informáticos pudieron instalar un rootkit, un tipo de malware que tiene acceso profundo al sistema operativo, en el ordenador de la víctima, según el informe de Microsoft.
A partir de ese momento, los datos de la víctima se acabaron, ya que los hackers habían obtenido el control total del ordenador pirateado.
Las criptomonedas han sido un jugoso objetivo para los hackers del gobierno norcoreano durante años. Un panel del Consejo de Seguridad de las Naciones Unidas concluyó que el régimen robó 3.000 millones de dólares en cripto entre 2017 y 2023. Dado que el gobierno de Kim Jong Un es objeto de estrictas sanciones internacionales, el régimen ha recurrido al robo de criptomonedas para financiar su programa de armas nucleares.
