El gobierno de EE. UU. Advierte sobre un nuevo ciberataque 'Cobra oculto' iniciado por Corea del Norte

Las autoridades del gobierno de Estados Unidos han advertido esta semana que el grupo de APT de Corea del Norte Hidden Cobra ha lanzado otro ciberataque peligroso utilizando una nueva forma de malware. Según el equipo de preparación para emergencias informáticas de EE. UU. (US-CERT), el nuevo malware está dirigido a víctimas de alto perfil , como las principales empresas tanto en los EE. UU. Como en todo el mundo, por lo que la nueva amenaza no es menos poderosa que los ataques previamente conocidos realizados. bajo la campaña Hidden Cobra en los últimos años. Los actores detrás de estos ataques están tratando de extraer información confidencial y privada. Sin embargo, las herramientas maliciosas distribuidas por ellos también pueden interrumpir las operaciones regulares de las máquinas infectadas y deshabilitar archivos.

Apodado Typeframe, el nuevo malware detectado por el Departamento de Seguridad Nacional (DHS) tiene prácticamente las mismas funcionalidades que las otras amenazas implementadas anteriormente por el grupo de piratería. A saber, Typeframe es capaz de cambiar las reglas del firewall, descargar y ejecutar cargas útiles adicionales y esperar instrucciones de un servidor de control remoto. Según el informe emitido por el DHS, se han descubierto 11 muestras de malware diferentes y han consistido en archivos ejecutables de Windows de 32 y 64 bits. Entre los elementos descubiertos también se encuentra un documento de Microsoft Word que contiene macros que sirven para la implementación real del malware en las máquinas de destino.

Las autoridades estadounidenses han atribuido dos familias de malware al grupo Hidden Cobra en el pasado: una herramienta de acceso remoto (RAT) llamada Joanap y un Server Message Block (SMB) denominado Brambul.

La investigación conjunta del DHS y el FBI ha demostrado que las direcciones IP y los otros indicadores de compromiso de estas dos amenazas anteriores apuntan a malware que normalmente es desarrollado por el gobierno de Corea del Norte. Según una advertencia emitida a fines de mayo de este año, las dos campañas han estado activas desde al menos 2009, y su actividad ha consistido principalmente en rastrear computadoras infectadas en todo el mundo. Las víctimas de ese ciberespionaje provienen de varios sectores de la economía, como infraestructura, medios, financiero, aeroespacial y muchos otros. Entre los países afectados por las infracciones se encuentran Bélgica, China, Arabia Saudita, España, Suecia, Argentina y Taiwán.

Los expertos advierten que este tipo de malware infecta los sistemas sin previo aviso de los usuarios y propietarios, y si la aplicación maliciosa logra asegurar su persistencia en las máquinas afectadas, puede moverse por toda la red e infectar otros dispositivos conectados.