¿Quién es APT37? Conoce a este atacante cibernético de Corea del Norte que acecha al mundo

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

En el ámbito de la ciberseguridad, los grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) representan algunos de los atacantes más sofisticados y peligrosos. Entre ellos, APT37, también conocido como “Reaper”, “ScarCruft” o “Group123”, ha ganado notoriedad por sus operaciones dirigidas, principalmente asociadas con intereses geopolíticos de Corea del Norte.

APT37 es un grupo de ciberataques que se cree está respaldado por el gobierno norcoreano. Su actividad se ha rastreado desde al menos 2012, aunque su perfil se elevó significativamente en 2017, cuando los analistas de seguridad comenzaron a documentar sus campañas con mayor detalle. Este grupo se alinea con los intereses estratégicos de Pyongyang, enfocándose en objetivos que incluyen gobiernos extranjeros, desertores norcoreanos, organizaciones de medios y sectores industriales clave.

APT37 emplea una combinación de técnicas avanzadas y herramientas personalizadas para llevar a cabo sus operaciones. Entre sus métodos más comunes se encuentra el uso de correos electrónicos de phishing dirigidos (spear-phishing), diseñados para engañar a las víctimas y lograr que descarguen malware o revelen credenciales sensibles. Estos correos suelen estar cuidadosamente elaborados, utilizando temas relevantes para los objetivos, como asuntos políticos o eventos internacionales.

El grupo ha desarrollado una amplia gama de malware, incluyendo troyanos de acceso remoto (RAT) como “RokRat” y “Karar”, que les permiten mantener el control sobre los sistemas infectados. Además, APT37 ha mostrado habilidades para explotar vulnerabilidades de día cero, lo que indica un nivel significativo de sofisticación técnica. Una vez dentro de una red, el grupo realiza actividades de reconocimiento, extracción de datos y, en algunos casos, sabotaje.

Los blancos de APT37 reflejan los intereses estratégicos de Corea del Norte. Entre sus objetivos más frecuentes se encuentran:

- Gobiernos extranjeros: Especialmente en Corea del Sur, Japón y Vietnam, donde buscan inteligencia política y militar.
- Desertores norcoreanos: Para monitorear y neutralizar a quienes han abandonado el régimen.
- Sector industrial: Incluyendo empresas de tecnología y defensa, con el fin de robar propiedad intelectual.
- Medios de comunicación: Para influir en narrativas o recopilar información sobre la percepción internacional del régimen norcoreano.

Un caso notable ocurrió en 2017, cuando APT37 atacó organizaciones relacionadas con las negociaciones nucleares de Corea del Norte, demostrando su enfoque en temas de alta prioridad geopolítica.

A lo largo de los años, APT37 ha evolucionado, expandiendo su arsenal de herramientas y refinando sus tácticas. Inicialmente dependía de exploits conocidos y malware básico, pero con el tiempo ha incorporado técnicas más avanzadas, como el uso de aplicaciones en la nube (como Google Drive o Dropbox) para alojar payloads y evadir detecciones. Esta adaptabilidad sugiere que el grupo cuenta con recursos considerables y un enfoque continuo en mejorar sus capacidades.

El impacto de APT37 se extiende más allá del robo de datos, afectando la seguridad nacional y la estabilidad de las organizaciones objetivo. Sus campañas han puesto de manifiesto la necesidad de una vigilancia constante y de defensas robustas contra amenazas patrocinadas por estados. En respuesta, la unidad de investigación de SILIKN recomienda el uso de autenticación multifactor, capacitación en concientización sobre phishing y sistemas de detección de intrusos actualizados para mitigar los riesgos asociados con este grupo.

APT37 es un ejemplo claro de cómo los actores estatales utilizan el ciberespacio como una extensión de sus agendas políticas. Con su enfoque en el espionaje, la recolección de inteligencia y la disrupción, este grupo sigue siendo una amenaza significativa en el panorama global de la ciberseguridad. A medida que continúa evolucionando, la comunidad internacional debe mantenerse alerta y colaborar para contrarrestar sus actividades, protegiendo tanto los intereses nacionales como la infraestructura crítica.

Para más información, visita: https://www.silikn.com/