SEÚL: Cuando Daniel DePetris, un analista de asuntos exteriores con sede en Estados Unidos, recibió un correo electrónico en octubre del director del grupo de expertos 38 North encargando un artículo, parecía que todo seguía como siempre.
No era.
El remitente era en realidad un presunto espía norcoreano que buscaba información, según los involucrados y tres investigadores de ciberseguridad.
En lugar de infectar su computadora y robar datos confidenciales, como suelen hacer los piratas informáticos, el remitente parecía estar tratando de obtener sus pensamientos sobre los problemas de seguridad de Corea del Norte haciéndose pasar por la directora de 38 North, Jenny Town.
«Me di cuenta de que no era legítimo una vez que contacté a la persona con preguntas de seguimiento y descubrí que, de hecho, no se hizo ninguna solicitud, y que esta persona también era un objetivo», dijo DePetris a Reuters, refiriéndose a Town. . «Así que me di cuenta bastante rápido de que se trataba de una campaña generalizada».
El correo electrónico es parte de una campaña nueva y no reportada previamente por un presunto grupo de piratería de Corea del Norte, según los expertos en seguridad cibernética, cinco personas seleccionadas y correos electrónicos revisados por Reuters.
El grupo de piratería, que los investigadores denominaron Thallium o Kimsuky, entre otros nombres, ha utilizado durante mucho tiempo correos electrónicos de «spear-phishing» que engañan a los objetivos para que revelen contraseñas o hagan clic en archivos adjuntos o enlaces que cargan malware. Ahora, sin embargo, también parece simplemente preguntar investigadores u otros expertos para ofrecer opiniones o redactar informes.
Según correos electrónicos revisados por Reuters, entre los otros temas planteados estaban la reacción de China en caso de una nueva prueba nuclear; y si podría justificarse un enfoque «más silencioso» de la «agresión» de Corea del Norte.
«Los atacantes están teniendo mucho éxito con este método muy, muy simple», dijo James Elliott del Microsoft Threat Intelligence Center (MSTIC), quien agregó que la nueva táctica surgió por primera vez en enero. «Los atacantes han cambiado completamente el proceso».
MSTIC dijo que había identificado a «múltiples» expertos de Corea del Norte que proporcionaron información a la cuenta de un atacante de Thallium.
Los expertos y analistas a los que se dirige la campaña influyen en la configuración de la opinión pública internacional y las políticas de los gobiernos extranjeros hacia Corea del Norte, dijeron los investigadores de seguridad cibernética.
Un informe de 2020 de las agencias de ciberseguridad del gobierno de EE. UU. dijo que Thallium ha estado operando desde 2012 y «lo más probable es que el régimen de Corea del Norte le encargue una misión de recopilación de inteligencia global».
Históricamente, el talio se ha dirigido a empleados gubernamentales, grupos de expertos, académicos y organizaciones de derechos humanos, según Microsoft.
«Los atacantes obtienen la información directamente de la boca del caballo, por así decirlo, y no tienen que sentarse allí y hacer interpretaciones porque la obtienen directamente del experto», dijo Elliot.