Microsoft identifica a los ladrones de criptomonedas norcoreanos responsables de la explotación remota del código de día cero de Google Chrome
Recientemente, el equipo de inteligencia de amenazas de Microsoft reveló que un conocido actor de amenazas norcoreano estaba detrás de la explotación de una falla crítica de ejecución remota de código en Chrome. Esta falla, que Google parcheó el 21 de agosto de 2024, se explotó a través de una vulnerabilidad de confusión de tipos en el motor JavaScript y WebAssembly de Chromium V8. La vulnerabilidad, identificada como CVE-2024-7971, es la séptima vulnerabilidad de día cero de Chrome detectada este año.
Tabla de contenido
Hackers norcoreanos aprovechan vulnerabilidad de Chrome para obtener ganancias económicas
Según Microsoft, la explotación de CVE-2024-7971 se ha atribuido a un grupo norcoreano conocido como 'Citrine Sleet'. Este grupo tiene antecedentes de atacar a instituciones financieras y personas que gestionan criptomonedas, con el objetivo de obtener importantes beneficios económicos. El informe de Microsoft indicó que Citrine Sleet utilizó exploits de día cero para ejecutar código remoto, lo que les permitió infiltrarse en las máquinas de las víctimas e implementar un sofisticado rootkit.
Los ataques se observaron por primera vez el 19 de agosto de 2024, cuando los piratas informáticos norcoreanos dirigieron a sus víctimas a un dominio comprometido. Este dominio estaba diseñado para ofrecer vulnerabilidades de ejecución remota de código en el navegador, lo que finalmente permitió a los atacantes obtener el control de los sistemas atacados. Una vez dentro, los piratas informáticos implementaron el rootkit FudModule, un software malicioso previamente asociado con otro grupo de amenazas persistentes avanzadas (APT) de Corea del Norte.
Citrine Sleet y sus afiliaciones
Citrine Sleet, el nombre dado por Microsoft a este grupo, también es rastreado por otras organizaciones de ciberseguridad bajo diferentes alias, entre ellos AppleJeus , Labyrinth Chollima, UNC4736 y Hidden Cobra . Estos alias apuntan a la afiliación del grupo con la Oficina 121 de la Oficina General de Reconocimiento de Corea del Norte, una notoria unidad de guerra cibernética conocida por orquestar ciberataques a gran escala.
Cómo protegerse de estas amenazas
Ante el aumento de las amenazas cibernéticas que afectan al sector de las criptomonedas, es fundamental que las personas y las organizaciones se mantengan alerta. La identificación oportuna por parte de Microsoft de las actividades de Citrine Sleet subraya la importancia de mantener el software actualizado y emplear medidas de seguridad sólidas para protegerse contra ataques sofisticados.
A medida que las amenazas cibernéticas continúan evolucionando, en particular las vinculadas a actores patrocinados por estados como Citrine Sleet, es esencial mantener un enfoque proactivo en materia de ciberseguridad. Mantenerse informado sobre las últimas vulnerabilidades y sus exploits, como CVE-2024-7971 en Google Chrome, es clave para defenderse de estos peligros omnipresentes.