Hospitales, escuelas y ONG: hackers norcoreanos atacan a los objetivos más vulnerables
La reputación no importa cuando están en juego cientos de miles de dólares.
El grupo de hackers vinculado a Corea del Norte, Lazarus Group, amplió su conjunto de herramientas y empezó a utilizar el ransomware Medusa en ataques contra organizaciones en Oriente Medio y en Estados Unidos. De ello informaron los especialistas de las divisiones Symantec y Carbon Black, que pertenecen a Broadcom, tras analizar incidentes recientes.
Según esos datos, Medusa se empleó contra una entidad no identificada en Oriente Medio. Ese mismo grupo intentó atacar a una organización médica en Estados Unidos, pero esa operación fracasó. Medusa funciona con el modelo de «ransomware como servicio» y fue puesta en marcha por el grupo delictivo Spearwing en 2023. Desde su aparición, los operadores han reivindicado más de 366 ataques.
El análisis del sitio de filtraciones de Medusa mostró que, desde comienzos de noviembre de 2025, al menos cuatro organizaciones estadounidenses relacionadas con la salud y con el sector sin ánimo de lucro han sido víctimas. Entre ellas hay una entidad del ámbito de la salud mental y un centro educativo para niños con autismo. No está claro si en todos los casos los ataques fueron obra de operadores norcoreanos o si parte de los episodios está vinculada a otros socios de Medusa. El importe medio de las exigencias en ese periodo rondaba los 260.000 dólares.
El uso de ransomware por parte de Lazarus Group no es nuevo. Ya en 2021, una de sus divisiones, conocida como Andariel, atacó empresas en Corea del Sur, Japón y Estados Unidos con familias de malware propias, incluidas SHATTEREDGLASS, Maui y H0lyGh0st. En el otoño de 2024, a esa misma unidad la asociaron con el uso del ransomware Play, lo que supuso un cambio hacia el empleo de soluciones comerciales en lugar de desarrollar código propio.
Un cambio similar se observó en otro grupo norcoreano, Moonstone Sleet. Según Bitdefender, este grupo, que antes distribuía su propio cifrador FakePenny, podría haber atacado a organizaciones financieras de Corea del Sur con ayuda de Qilin. Los especialistas atribuyen ese paso a un cálculo pragmático: usar herramientas ya probadas reduce los costes de desarrollo y acelera las operaciones, incluso cuando hay que pagar a socios.
En la campaña con Medusa, Lazarus Group empleó tanto herramientas propias como públicas. Entre ellas la utilidad proxy RP_Proxy, el backdoor Comebacker, el info-stealer InfoHook, el troyano de acceso remoto BLINDINGCAN, así como programas para robar credenciales, incluidos Mimikatz y ChromeStealer. Por ahora la actividad no se ha atribuido a una división concreta dentro de Lazarus, aunque los métodos recuerdan en gran medida operaciones previas de Andariel.
En Broadcom consideran que los operadores norcoreanos siguen participando activamente en la ciberdelincuencia y no evitan atacar a organizaciones estadounidenses, incluidas las sanitarias, a pesar de los riesgos reputacionales que para muchas otras bandas actúan como factor disuasorio.