Hackear y luego quemar: Corea del Norte comienza a producir virus de un solo uso

Corea del Norte hace tiempo que convirtió el malware en una línea de producción, donde cada herramienta vive poco tiempo pero cumple una tarea concreta. Este enfoque ayuda a Pyongyang a realizar al mismo tiempo ciberespionaje, obtener dinero y llevar a cabo ataques destructivos, sin mezclar canales de acceso, servidores y código.

Especialistas de DomainTools llegaron a la conclusión de que la aparente «fragmentación» del arsenal norcoreano no indica caos, sino un sistema maduro. En lugar de una sola gran plataforma, la RPDC, según su evaluación, emplea varias líneas de desarrollo en paralelo. Cada línea está orientada a un objetivo específico, y la pérdida de una familia de malware no destruye todo el sistema por completo.

La razón de este enfoque es comprensible. Las sanciones internacionales durante años limitaron el acceso del régimen a divisas, y las publicaciones de los servicios secretos junto con las acciones de las fuerzas del orden redujeron la vida útil de campañas individuales. En cuanto los defensores descubren una nueva herramienta, los proveedores de soluciones de seguridad incorporan rápidamente indicadores de compromiso en sus bases, y la utilidad del programa cae bruscamente. Frente a esto, los operadores norcoreanos, según los autores, reorganizaron su trabajo para quemar herramientas con rapidez y reemplazarlas igualmente rápido.

Para el espionaje, según este esquema, se emplea un conjunto de medios. Esas campañas se dirigen a ministerios, contratistas de defensa, centros de investigación y organizaciones analíticas. El objetivo principal no es un ataque ruidoso, sino la recopilación silenciosa y prolongada de datos. En operaciones de este tipo suelen utilizarse scripts de PowerShell o Visual Basic Script, documentos maliciosos y control persistente del correo y de las cuentas. El control de máquinas infectadas con frecuencia se oculta tras servicios habituales en la nube. A este enfoque se suele asociar el grupo Kimsuky.

Una línea separada se encarga del robo de dinero. Aquí el ritmo es mucho más alto y el riesgo de ser descubierto se considera aceptable. Los objetivos son intercambios de criptomonedas, desarrolladores de proyectos en blockchain, plataformas de finanzas descentralizadas y cadenas de suministro de software. En esos ataques se usan robadores de monederos, sustitución del contenido del portapapeles, inserción de código malicioso en paquetes públicos y actualizaciones comprometidas. La infraestructura para estas operaciones cambia con rapidez, sin intentar conservarla a largo plazo. Al grupo Lazarus Group suele atribuirse el componente financiero.

La tercera línea sirve para golpes demostrativos y destructivos. Allí la tarea no es ganar dinero ni permanecer en la red durante meses, sino causar un daño notable y enviar un mensaje político. Se emplean programas que destruyen datos y herramientas similares a los ransomware. Tras infiltrarse, los operadores tratan de moverse por la red lo más rápido posible y golpear muchas sistemas a la vez. Esas campañas suelen vincularse al grupo Andariel.

A pesar de las diferencias entre las direcciones, los especialistas observan rasgos comunes. En distintas familias de malware se repiten métodos similares de empaquetado, cargadores y técnicas de cifrado. Las campañas todavía comienzan con frecuencia no por una intrusión compleja, sino por ingeniería social, cuando los atacantes explotan la confianza del personal. Tras entrar en la red, a los operadores norcoreanos les gusta ocultar la actividad dentro de servicios habituales, plataformas en la nube y herramientas de desarrollo para que el tráfico parezca legítimo.

Los autores del informe consideran que este modelo da a la RPDC varias ventajas a la vez. Primero, la pérdida de una herramienta casi no perjudica a otras operaciones. Segundo, código diferente, servidores distintos y estilos distintos complican la atribución y ralentizan las respuestas defensivas. Mientras los defensores determinan con qué campaña están tratando, otras líneas ya continúan operando.

Para los equipos de seguridad la conclusión es desagradable pero clara. Confiar solo en firmas de archivos maliciosos ya no es suficiente, porque los grupos norcoreanos cambian rápidamente el código y el empaquetado. Es mucho más importante monitorizar el comportamiento en la red, el control de cuentas, la actividad sospechosa en servicios en la nube y los ataques a las cadenas de suministro de software.

En el texto también comparan el enfoque de la RPDC con el de otros grupos estatales. Operadores rusos, chinos e iraníes también actualizan herramientas y a veces abandonan familias antiguas de malware. Pero, según los autores, en el modelo norcoreano ese enfoque está llevado casi al extremo. Aquí el malware no se considera un activo valioso que debe conservarse durante mucho tiempo, sino un material de consumo. Si se pierde una herramienta, se lanza inmediatamente la siguiente.

Por eso la diversidad del malware norcoreano, según los autores del texto original, no debe interpretarse como un signo de desorden. Se trata, al contrario, de un sistema concebido desde el principio para soportar presión constante, pérdidas rápidas y la necesidad de resolver diferentes tareas estatales en paralelo.