El grupo de análisis de amenazas de Google (TAG) ha compartido que actores de amenazas de estado-nación vinculados a Corea del Norte han redoblando sus esfuerzos para apuntar contra investigadores de seguridad en ataques de zero-day.
Estas amenazas se habrían concentrado en un popular software cuyo nombre no se ha hecho público. Los investigadores que son 'diana' se dedican normalmente a la la investigación y el desarrollo de vulnerabilidades, según explican desde la firma de Mountain View.
Los ataques de zero-day se caracterizan por enfocarse contra una aplicación o sistema con el objetivo de la ejecución de código malicioso debido al conocimiento de vulnerabilidades que son ajenas a los usuarios y el propio fabricante del producto. La denominación de 'día cero' es porque este último no habría tenido ningún día para corregir la falla.
"Tenemos conocimiento de que al menos un ataque de día 0 se ha explotado activamente y se ha utilizado para atacar a investigadores de seguridad en las últimas semanas", han señalado Clement Lecigne y Maddie Stone, del equipo de Google TAG.
"La vulnerabilidad ha sido puesta en conocimiento del proveedor afectado y está en proceso de parchearse", añaden.
Por este motivo, el nombre de la empresa afectada ni el citado software no han sido revelados todavía. Compartirlos antes de que se solucione el error podría aumentar su dimensión.
Así operan los cibermalos
Según se hace eco Bleeping Computer, los atacantes habrían utilizado plataformas como Twitter y Mastodon para atraer a los investigadores pidiéndoles pasarse a apps de mensajería cifrada como Signal, Wire o WhatsApp.
Tras establecer una relación y pasar a canales de comunicación seguros los atacantes les enviaban archivos maliciosos diseñados para explotar el día cero.
Además, usan la herramienta de código abierto GetSymbol para ingeniería inversa que sólo debería ayudar a descargar símbolos de depuración de Microsoft, Google, Mozilla y Citrix pero, sin embargo, también permite descargar y ejecutar código arbitrario.
"Si ha descargado o ejecutado esta herramienta, TAG recomienda tomar precauciones para garantizar que su sistema esté en un estado limpio conocido, lo que probablemente requiera una reinstalación del sistema operativo", han alertado Lecigne y Stone.
La campaña tiene muchas similitudes con una ejecutada en enero de 2021, con los cibermalos usando Twitter y otras plataformas de redes sociales, como LinkedIn, Telegram, Discord y Keybase como vector de contacto inicial. Se cree que fue orquestada por los mismos ciberdelincuentes.