Corea del Norte lleva a cabo las operaciones cibernéticas más agresivas del mundo. Desde robos de criptomonedas por valor de miles de millones de dólares hasta compromisos de alto perfil en la cadena de suministro, sus operadores respaldados por el estado golpean a los equipos de seguridad con una potente combinación de espionaje, delitos financieros y campañas subversivas.
Al igual que Lazarus y Kimsuki, la RPDC se encuentra en el centro del ecosistema. Y no muestran piedad: se dirigen a cualquier persona, desde empresas emergentes hasta agencias gubernamentales e infraestructuras de TI críticas, en busca de ingresos, inteligencia y apalancamiento estratégico.
Director de seguridad de la información de Acronis.
La presión constante que ejercen estos grupos ha moldeado la forma en que las organizaciones se defienden. Hasta la fecha, el manual ha sido principalmente reactivo y centrado en el malware.
El artículo continúa a continuación.
Los equipos azules centran sus esfuerzos en diseccionar cargas útiles, realizar ingeniería inversa en muestras y competir para identificar la siguiente variante. Pero una nueva investigación sobre la actividad de la RPDC sugiere que los defensores están siguiendo señales equivocadas.
De hecho, una de las formas más confiables de rastrear a estos actores es a través de la infraestructura que dejan atrás.
Puntos ciegos en las defensas modernas
Muchas organizaciones están invirtiendo mucho en protección de endpoints y detección de malware, que son esenciales para prevenir futuras amenazas. Sin embargo, se presta muy poca atención a la telemetría a nivel de infraestructura.
Es este análisis profundo, que puede resaltar comportamientos operativos consistentes, lo que muchos equipos de seguridad faltan.
Una investigación conjunta de Acronis Threat Research Unit y Hunt.io ha comenzado a mapear la infraestructura actual de la RPDC. También dio a conocer Linking Campaigns que reutilizan infraestructura continua a lo largo del tiempo: certificados compartidos que abarcan doce direcciones IP, nodos de túnel de proxy inverso rápido (FRP) idénticos implementados en múltiples hosts y servidores de prueba abiertos que albergan gigabytes de herramientas operativas.
¿Por qué esto importa?
Las cargas útiles están diseñadas para modificar y evadir la detección basada en firmas. La infraestructura, por el contrario, refleja hábitos: configuraciones repetibles, implementaciones basadas en plantillas y canales de comunicación reutilizados que persisten a lo largo de una campaña.
Incluso los programas de seguridad de Internet maduros a menudo centran sus estrategias de respuesta en torno al análisis de la carga útil y la clasificación de alertas, lo que puede mantener invisible la actividad preparatoria hasta que ocurre una intrusión. Esto puede explicar por qué los operadores de la RPDC continúan reutilizando la infraestructura año tras año después de importantes incidentes en la cadena de suministro.
Los directorios abiertos revelan la puesta en escena operativa
Tomemos como ejemplo el directorio HTTP abierto. Mientras investigaban, los investigadores encontraron repetidamente servidores que alojaban kits de herramientas estructurados que incluían utilidades de recolección de credenciales, herramientas de acceso remoto, archivos binarios de exfiltración y componentes de túneles.
En un caso, el entorno expuesto contenía miles de archivos y casi dos gigabytes de herramientas operativas. Se parece más a un espacio de trabajo de un operador en vivo que a un lugar típico de descarga de malware. En términos prácticos, se sintió menos como descubrir un solo archivo malicioso y más como toparse con la mitad de la operación de un conjunto de herramientas activo de la RPDC.
Este descubrimiento muestra cómo los operadores de la RPDC optimizan la velocidad. Los directorios abiertos reducen la fricción y permiten a los atacantes recuperar rápidamente herramientas durante una intrusión sin mantener una infraestructura de entrega compleja.
También muestra madurez operativa. Si los atacantes se sienten cómodos montando herramientas a esta escala, indica un enfoque en la eficiencia y la repetibilidad, y no esperan que los defensores monitoreen consistentemente estos entornos.
La infraestructura de túneles muestra cómo escala la campaña
La infraestructura de túneles proporciona el ejemplo más claro de reutilización de infraestructura en la práctica.
En una investigación conjunta, los investigadores identificaron ocho nodos de proxy inverso rápido (FRP) idénticos que se ejecutan en el mismo puerto en diferentes hosts. FRP se usa comúnmente para crear túneles inversos que permiten a los operadores mantener el acceso a los sistemas comprometidos, incluso cuando las conexiones entrantes están restringidas. Encontrar la misma configuración replicada en varios servidores apunta a implementaciones basadas en plantillas en lugar de configuraciones ad hoc.
La buena noticia es que cuando los nodos de túneles se aprovisionan de manera uniforme a lo largo de la campaña, crean artefactos predecibles que los defensores pueden rastrear. Incluso cuando los dominios rotan y las familias de malware evolucionan, la capa de acceso subyacente puede permanecer consistente.
En el caso de la infraestructura de la RPDC, la repetibilidad apunta a la eficiencia operativa, pero también indica a los defensores que son una víctima más sostenible que cualquier binario malicioso.
La infraestructura es tejido conectivo.
A lo largo de cuatro cacerías distintas, los mismos patrones siguieron resurgiendo. Directorio provisional publicado completo con herramientas de robo de credenciales. Los túneles de proxy inverso rápido se configuran de manera idéntica en diferentes hosts VPS. Los certificados reutilizados asocian hasta doce direcciones IP con el mismo clúster operativo.
Estos no fueron descubrimientos aislados. Eran elementos recurrentes en un ecosistema estructurado.
Y por eso es tan importante mirar profundamente. Una vez que el pivote pasó de la carga útil a la infraestructura, las separaciones entre los subgrupos de la RPDC se volvieron menos claras y comenzaron a surgir prácticas operativas compartidas. Campañas no relacionadas a nivel de malware están comenzando a publicar credenciales comunes, lo que muestra cómo actividades a menudo consideradas separadas están en realidad estrechamente vinculadas.
La seguridad operativa entre los operadores cibernéticos de la RPDC ha evolucionado de manera desigual durante la última década, lo que revela un equilibrio entre sigilo y eficiencia operativa. Las primeras campañas de Lazarus a mediados de la década de 2010 se caracterizaron por una infraestructura relativamente ruidosa y malware hecho a medida, lo que hacía posible la atribución, pero a menudo era lenta y dependía del análisis de la carga útil y del análisis forense de la víctima.
A medida que el escrutinio mundial ha aumentado tras incidentes de alto perfil, los actores de la RPDC han reforzado el malware, adoptado capas de ofuscación y abusado cada vez más de plataformas legítimas y herramientas de código abierto para mezclarlas con el tráfico normal. Al mismo tiempo, repetidas investigaciones apuntan a una debilidad persistente en la infraestructura de OPSEC: servidores de preparación crónicos, certificados reutilizados, nodos de túnel proxy inverso rápidos idénticos y directorios abiertos que se pueden ver en todas las campañas e incluso en subgrupos como Lazarus y Kimsuki.
Incidentes como la filtración de Kimsuki “Kim” resaltan este desequilibrio, donde las sofisticadas operaciones de ingeniería social y robo de credenciales se vieron socavadas por artefactos recuperables del operador y una infraestructura mal compartimentada.
En conjunto, los antecedentes de la última década sugieren que los actores de la RPDC se han vuelto más disciplinados en los niveles de carga útil y penetración, pero constantemente expuestos en el nivel de infraestructura, lo que les da a los defensores una ventaja sostenida en toda la campaña.
El malware seguirá evolucionando. La codicia cambiará. El dominio rotará. La infraestructura, sin embargo, deja patrones consistentes. En el caso de Lazarus y Kimsuki y más allá, estos patrones permiten asociar actividad, grupos relacionados con la superficie e identificar estructuras de soporte antes de la cirugía.
Debido a esta infraestructura, la caza ya no es una disciplina de apoyo. Este es el punto de vista que permite a los defensores ver cómo se construyen, mantienen y escalan las operaciones.
Hemos revisado y calificado el mejor software antivirus..
