NACHOCHEESE
El grupo de piratería más notorio originario de Corea del Norte se llama APT38 (Amenaza persistente avanzada). También son conocidos bajo el alias de Lázaro y han estado activos durante bastante tiempo. Se sabe que el grupo de piratería APT38 está trabajando para el gobierno de Corea del Norte, y sus esfuerzos se concentran en promover los intereses de Corea del Norte a nivel mundial. La mayoría de los grupos de piratería que son contratados por los gobiernos tienden a operar de una manera bastante conservadora y se aseguran de no causar daños innecesarios al sistema del objetivo. Sin embargo, el grupo APT38 no se interesa por tales precauciones y a veces puede destruir completamente un sistema infiltrado, lo que no es importante para él. Algunos de los miembros de la APT38 incluso son buscados por el FBI de los Estados Unidos.
Toma el control de la línea de comando del sistema
La amenaza NACHOCHEESE es parte del arsenal de herramientas de piratería de la APT38 y, aunque puede no estar entre sus amenazas más complejas, puede resultar una herramienta crucial en una campaña. Este malware es una herramienta de pirateo de línea de comandos, que el grupo APT38 plantaría en un sistema comprometido como una carga útil de segunda etapa. El malware NACHOCHEESE permite a los atacantes ejecutar comandos remotos en el host comprometido al tomar el control de la línea de comandos del sistema.
APT38 intenta engañar a los investigadores
Una característica interesante de la amenaza NACHOCHEESE es que ciertas partes de su código están escritas en ruso muy pobre. Es probable que el APT38 trató de confundir a los expertos en seguridad cibernética y quizás los engañó haciéndoles creer que la puerta trasera NACHOCHEESE se origina en Rusia y no en Corea del Norte. Este es un tema recurrente cuando se trata de amenazas creadas por el APT38. En campañas anteriores, los investigadores de malware descubrieron líneas de su código escritas en chino, ruso e iraní. Otro truco que le gusta usar al APT38 es implementar una amenaza separada y fácilmente detectable en el host comprometido. Esto puede ayudar al NACHOCHEESE a pasar desapercibido por un período más largo.
Dado que el APT38 está financiado por el gobierno, su actividad amenazante probablemente continuará en el futuro, y es probable que sigamos viendo nuevas amenazas creadas por este notorio grupo de piratería.
