Microsoft ha identificado un nuevo actor de amenazas norcoreano, llamado Moonstone Sleet, previamente conocido como Storm-1789. Este grupo emplea una combinación de técnicas tradicionales y metodologías únicas para llevar a cabo ataques con objetivos financieros y de ciberespionaje. Entre sus tácticas, Moonstone Sleet crea empresas falsas y oportunidades laborales para atraer a sus víctimas, utiliza versiones troyanizadas de herramientas legítimas, desarrolla juegos maliciosos como DETANKWAR, y despliega un ransomware personalizado llamado FakePenny. Aunque inicialmente compartía infraestructura con Diamond Sleet, Moonstone Sleet ahora opera de manera independiente y está bien financiado.
Qué sabemos del actor de amenazas
Moonstone Sleet es un actor de amenazas vinculado al estado de Corea del Norte, identificado por Microsoft, que emplea una combinación de técnicas tradicionales y métodos únicos. Inicialmente, su actividad mostraba una fuerte superposición con Diamond Sleet, reutilizando código de malware conocido y técnicas establecidas como el uso de redes sociales para entregar software troyanizado. Sin embargo, Moonstone Sleet pronto comenzó a operar con su propia infraestructura realizando ataques personalizados. Microsoft ha observado que ambos grupos, Moonstone Sleet y Diamond Sleet, realizan operaciones simultáneas para lograr comprometer a sus objetivos.
Campañas realizadas por Moonstone Sleet
Campaña 1 (PuTTY troyanizado)
A principios de agosto de 2023, Microsoft observó que Moonstone Sleet distribuía una versión troyanizada de PuTTY a través de aplicaciones como LinkedIn y Telegram. Los atacantes enviaban un archivo .zip con putty.exe troyanizado y un archivo url.txt con una IP y contraseña. Al ingresar estos datos en PuTTY, se descifraba y ejecutaba una carga útil oculta. Este método ya había sido utilizado previamente por Diamond Sleet con técnicas de antianálisis similares.
Ilustración 1: Cadena de ataque PuTTY troyanizado
Fuente: Microsoft
Campaña 2 (Paquetes npm maliciosos)
Otra de las técnicas empleadas por Moonstone Sleet apunta a víctimas mediante proyectos con paquetes npm maliciosos, distribuidos a través de sitios web y plataformas como LinkedIn. Usando empresas falsas, el actor enviaba archivos .zip con paquetes npm maliciosos que se conectaban a IPs controladas por el actor para desplegar cargas útiles como SplitLoader y robar credenciales de LSASS. Microsoft colaboró con GitHub para eliminar los repositorios asociados a esta actividad.
Campaña 3 (Juego DeTankWar)
Desde febrero de 2024, Microsoft ha observado que Moonstone Sleet utiliza un juego de tanques malicioso llamado DeTankWar para infectar dispositivos. El grupo se acerca a sus objetivos a través de mensajería o correo electrónico, presentándose como desarrolladores de juegos o empresas blockchain legítimas. Para reforzar la legitimidad del juego, han creado sitios web como detankwar[.]com y muchas cuentas en X (Twitter). Utilizando empresas falsas como CC Waterfall, envían correos electrónicos que ofrecen colaboración y enlaces para descargar el juego. Al iniciarlo, se cargan DLL maliciosas, incluyendo el cargador de malware YouieLoad, que ejecuta funciones maliciosas como descubrimiento de redes y robo de credenciales.
Campaña 4 (Secuestro de datos)
En abril de 2024, Microsoft observó que Moonstone Sleet desplegó una nueva variante de ransomware personalizada llamada FakePenny contra una empresa comprometida previamente en febrero. FakePenny incluye un cargador y un cifrador, marcando la primera vez que este grupo utiliza ransomware. El objetivo de Moonstone Sleet parece ser financiero, complementando sus operaciones de inteligencia y espionaje. La nota de rescate de FakePenny es similar a la utilizada por Seashell Blizzard en NotPetya, y la demanda de rescate fue de 6,6 millones de dólares en BTC, significativamente más alta que las de anteriores ataques de ransomware norcoreanos como WannaCry 2.0 y H0lyGh0st.
Ilustración 2: Nota de rescate FakePenny
Fuente: Microsoft
Campaña 4 Empresas falsas
Desde enero de 2024, Microsoft ha observado que Moonstone Sleet crea varias empresas falsas que se hacen pasar por desarrollo de software y servicios de TI, generalmente relacionados con blockchain e inteligencia artificial. El actor ha utilizado estas empresas para llegar a objetivos potenciales, utilizando una combinación de sitios web creados y cuentas de redes sociales para agregar legitimidad a sus campañas.
Campaña 5 Empresas StarGlow
De enero a abril de 2024, Moonstone Sleet operó la empresa falsa StarGlow Ventures, haciéndose pasar por una legítima firma de desarrollo de software. Utilizando un dominio personalizado, empleados falsos y cuentas de redes sociales, la campaña de correo electrónico apuntó a miles de organizaciones en los sectores de educación y desarrollo de software. En los correos electrónicos, Moonstone Sleet elogiaba el trabajo de la organización objetivo y ofrecía colaboración en proyectos futuros, destacando su experiencia en desarrollo web, aplicaciones móviles, blockchain e inteligencia artificial. Los correos incluían un píxel de seguimiento para monitorear la interacción y un enlace a una página ficticia para cancelar la suscripción. Aunque no contenían enlaces maliciosos, Microsoft evalúa que la campaña buscaba establecer relaciones con las organizaciones objetivo, potencialmente para obtener acceso o generar ingresos. Microsoft notificó a los clientes afectados por esta campaña.
Apreciación
La evolución y efectividad de las tácticas de Moonstone Sleet destacan su capacidad para cumplir los objetivos cibernéticos de Corea del Norte, utilizando métodos desarrollados por otros actores de amenazas norcoreanos. Su incursión en trabajos de TI y ransomware indica una ampliación de capacidades más allá del beneficio financiero. Las operaciones simultáneas y el uso de técnicas de otros grupos sugieren que Moonstone Sleet está bien financiado y equipado con experiencia cibernética previa. La colaboración entre actores de amenazas norcoreanos en el uso de tácticas similares sugiere un intercambio de conocimientos y técnicas. Aunque Moonstone Sleet aún no ha realizado ataques a la cadena de suministro, su enfoque en empresas de desarrollo de software plantea un riesgo significativo para futuros ataques. En el contexto de cambios en la política y seguridad de Corea del Norte, Moonstone Sleet se perfila como un actor de amenazas sofisticado y preeminente en apoyo del régimen norcoreano.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.microsoft.com/en-us/security/b... |