Lazarus Group: más allá de la APT, una red de subgrupos en evolución

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Un análisis reciente de la unidad de investigación de SILIKN revela que el término “Lazarus”, utilizado para identificar a un grupo de atacantes norcoreanos, ya no hace referencia a una sola entidad de Amenaza Persistente Avanzada (APT). Lo que antes se consideraba un colectivo unificado ha evolucionado en una red de subgrupos con operaciones diferenciadas.

Históricamente, Lazarus, también conocido como APT38 o Hidden Cobra, ha estado vinculado a ciberataques de alto perfil como el robo al Banco Central de Bangladesh en 2016 y el ransomware WannaCry en 2017, con el objetivo de financiar actividades del gobierno de Corea del Norte. Sin embargo, SILIKN sugiere que este nombre ahora abarca diversas facciones con estrategias, objetivos y niveles de sofisticación distintos. Entre los subgrupos identificados se encuentran Andariel y BlueNoroff, cada uno especializado en actividades como espionaje, robo financiero e interrupción de infraestructuras críticas.

En noviembre de 2022, SILIKN emitió una alerta tras detectar que varias dependencias del gobierno mexicano utilizaban Zimbra, un sistema de correo electrónico vulnerable. Esta falta de gestión de seguridad permitió ataques como el del grupo hacktivista Guacamaya, que extrajo 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena). Posteriormente, SILIKN identificó que Lazarus explotó las mismas vulnerabilidades (CVE-2022–27925 y CVE-2022–37042), comprometiendo servidores y extrayendo 120 gigabytes de datos, lo que sugiere que continuarán apuntando a sectores críticos como investigación, energía e infraestructura.

En febrero de 2023, SILIKN alertó sobre el riesgo de que Lazarus atacara instituciones que usan Zimbra sin parches de seguridad. Con una fuerte campaña de recopilación de inteligencia, el grupo ha dirigido ataques a sectores como investigación médica, energía, tecnología, defensa e ingeniería química.

En mayo de 2023, SILIKN detectó que Lazarus había actualizado su campaña de espionaje para explotar vulnerabilidades en servidores web Windows IIS sin parches, desplegando su malware de reconocimiento. En México, varias dependencias gubernamentales han estado en riesgo al no aplicar las actualizaciones de seguridad requeridas.

Para agosto de 2023, Lazarus intensificó sus ataques de phishing con dos nuevos troyanos de acceso remoto (RAT): MagicRAT y QuiteRAT, este último una versión más ligera del primero, ambos desarrollados con el framework Qt. Además, está explotando la vulnerabilidad CVE-2022–47966 en productos Zoho ManageEngine, que permite ejecución remota de código debido al uso de la dependencia obsoleta Apache Santuario. Esta vulnerabilidad facilita ataques “spray and pray”, donde los atacantes envían correos electrónicos masivos suplantando identidades confiables. Inicialmente dirigidas a los sectores energético y hospitalario, estas campañas ahora también afectan a gobiernos, incluyendo México, donde diversas dependencias siguen expuestas por no aplicar los parches de seguridad.

Además, Lazarus, podría estar relacionado con la nueva estrategia del gobierno norcoreano de establecer un centro de investigación de inteligencia artificial (IA) aplicado a la ciberseguridad, según especulaciones basadas en recientes desarrollos. Este enfoque en IA podría extenderse al ámbito cibernético, potenciando las habilidades de Lazarus. La integración de IA en sus operaciones podría explicar su creciente sofisticación y éxito en el lavado de criptoactivos, alineándose con los objetivos estatales de financiar programas estratégicos mediante ciberataques avanzados.

La evolución de Lazarus en una red de subgrupos complica los esfuerzos para rastrear y mitigar sus actividades, ya que cada uno emplea tácticas y herramientas distintas. Ante este panorama, la unidad de investigación de SILIKN recomienda a las organizaciones actualizar constantemente sus defensas y compartir información sobre amenazas para adaptarse a este entorno de ciberseguridad en constante cambio.

Para más información, visite: https://www.silikn.com/