APT37

APT37 (Advanced Persistent Threat) es un grupo de piratería que probablemente opere desde Corea del Norte. Los expertos especulan que APT37 puede ser financiado directamente por el gobierno de Corea del Norte. Este grupo de hackers también se conoce como ScarCruft. Hasta 2017, APT37 concentró casi todos sus esfuerzos en objetivos ubicados en Corea del Sur. Sin embargo, en 2017, el grupo de piratería comenzó a expandir su alcance y comenzó a lanzar campañas en otros estados de Asia oriental, como Japón y Vietnam. El APT37 también ha tenido objetivos ubicados en el Medio Oriente. También se sabe que el grupo de hackers colabora con otros actores malintencionados.

APT37 está destinado a promover los intereses de Corea del Norte y, por lo tanto, sus objetivos tienden a ser de alto perfil. El grupo de piratería tiende a apuntar a industrias vinculadas a la fabricación de automóviles, producción química, aeroespacial, etc.

Métodos de propagación

Los expertos en ciberseguridad han estado observando las campañas de APT37 y han descrito varios métodos de propagación, que a menudo se implementan:

• Difundir malware a través de sitios web de torrents.
• Lanzamiento de campañas de correo electrónico de spear-phishing.
• Usar varias técnicas de ingeniería social para engañar a los usuarios para que descarguen y ejecuten archivos corruptos.
• Infiltrarse en servicios y sitios web para secuestrarlos y usarlos para propagar malware.

Arsenal de herramientas de APT37

APT37 es un grupo de piratería con una amplia variedad de herramientas a su disposición. Entre las herramientas de piratería más populares utilizadas por APT37 se encuentran:

• NavRAT, un RAT o troyano de acceso remoto, que incluye una larga lista de características.
• CORALDECK, una amenaza utilizada para recopilar archivos del host comprometido.
• Karae, un troyano de puerta trasera que recopila datos sobre el sistema host y permite a los atacantes determinar cómo proceder con el ataque.
• DOGCALL, un troyano de puerta trasera, que se asemeja a una RAT debido a sus capacidades.
• ROKRAT , una RAT que puede grabar audio, secuestrar credenciales de inicio de sesión, ejecutar comandos remotos, etc.
• ScarCruft Bluetooth Harvester, una amenaza basada en Android que se utiliza para recopilar información del dispositivo comprometido.
• GELCAPSULE, un troyano que se utiliza para plantar malware adicional en el sistema infectado.
• MILKDRO, una puerta trasera, que manipula el Registro de Windows para ganar persistencia y funciona de manera muy silenciosa.
• SHUTTERSPEED, un troyano de puerta trasera, que puede tomar capturas de pantalla, desviar información sobre el software y el hardware del host e implementar malware adicional en el sistema.
• RICECURRY, un fragmento de código escrito en JavaScript, que se inyecta en sitios web secuestrados y se usa para verificar la huella digital de los usuarios que visitan la página para determinar si los atacantes deben ejecutar el malware o no.
• SLOWDRIFT, un programa de descarga de troyanos.
• RUHAPPY, un limpiador de disco que explota el MBR (Master Boot Record) del disco duro del usuario.
• ZUMKONG, un ladrón de información que es compatible con los navegadores web Google Chrome e Internet Explorer.
• SOUNDWAVE, una herramienta que es capaz de grabar audio (a través del micrófono presente en el sistema) y luego enviar la grabación al servidor C&C (Command & Control) de los atacantes.

El grupo de piratería APT37 no debe subestimarse ciertamente, a pesar de que no es la principal organización de delincuentes cibernéticos en Corea del Norte. Continúan expandiendo su arsenal de herramientas de piratería y lanzan campañas contra objetivos de alto perfil en todo el mundo para que probablemente sigamos escuchando sobre sus tratos.

Video APT37

Consejo: encienda el sonido y mire el video en modo de pantalla completa .