El grupo de ciberespionaje Lazarus, vinculado al gobierno norcoreano, ha lanzado una campaña de ataques de agujero de agua dirigida a empresas de tecnología, finanzas y telecomunicaciones en Corea del Sur, comprometiendo al menos seis organizaciones clave entre noviembre de 2024 y febrero de 2025. Esta campaña ha sido bautizada como Operación SyncHole.
Detalles de la Operación SyncHole
- Método de ataque: Lazarus explotó una vulnerabilidad en el software Cross EX utilizado por los surcoreanos para interactuar con servicios bancarios y gubernamentales en línea. Los atacantes redirigieron a sus víctimas a sitios web falsificados que aprovechaban esta vulnerabilidad.
- Fases del ataque: El ataque inició con JavaScript malicioso que explotaba la vulnerabilidad del software para entregar el backdoor ThreatNeedle, que permitía ejecutar 37 comandos en los sistemas comprometidos.
- Herramientas utilizadas: En algunos casos, se usaron otros malwares como LPEClient para el perfilado del sistema, y wAgent o Agamemnon como descargadores de malware. También se empleó el SIGNBT para implementar un backdoor adicional llamado Copperhedge.
Impacto y Sectores Afectados
- Organizaciones afectadas: Entre las víctimas se encuentran empresas del sector IT, financiero, telecomunicaciones y semiconductores.
- Explotación de vulnerabilidades conocidas: Aunque Lazarus aprovechó una vulnerabilidad conocida en el software de transferencia de archivos Innorix Agent, también se descubrió un zero-day en este software, que permitió descargas arbitrarias de archivos.
Tácticas de Lazarus
La campaña de Lazarus muestra su evolución hacia el uso de herramientas ligeras y modulares, que son más sigilosas y configurables, lo que les permite ejecutar ataques más difíciles de detectar.
Medidas de Seguridad ️
Las investigaciones de Kaspersky han llevado a la publicación de parches para las vulnerabilidades explotadas y la Korea Internet & Security Agency (KrCERT) ha sido notificada de estos fallos de seguridad.