Piso compartido en Pyongyang: por qué los hackers norcoreanos comparten servidores y contraseñas

Las agrupaciones que actúan en interés de Corea del Norte continúan desarrollando activamente su infraestructura para llevar a cabo ciberespionaje, ataques financieros y mantener una presencia a largo plazo en sistemas comprometidos. Así lo indican los resultados del estudio conjunto de Hunt.io y la unidad de análisis de Acronis, durante el cual se detectaron vínculos estrechos entre las infraestructuras de los grupos Lazarus y Kimsuky, y se analizaron técnicas e herramientas recurrentes.

El estudio se basa en un análisis detallado de artefactos dejados por los ciberdelincuentes. La reutilización de direcciones IP, certificados, catálogos de herramientas y otros elementos de infraestructura permitió identificar nodos interconectados y revelar tácticas similares incluso en agrupaciones formalmente independientes. Este enfoque posibilitó rastrear campañas que antes se consideraban dispersas.

Uno de los episodios centrales fue el análisis de dos programas maliciosos nuevos vinculados a Lazarus y Kimsuky. En el caso de Kimsuky se trató de un nuevo cargador HttpTroy, disfrazado como una cuenta VPN, mientras que Lazarus empleó una versión mejorada de su herramienta de acceso remoto BLINDINGCAN. Dentro de la misma infraestructura también se detectó una variante modificada del malware Badcall para Linux que incluye un registrador del sistema, lo que apunta a un perfeccionamiento del control sobre los dispositivos infectados.

En el análisis adicional, los investigadores encontraron amplios catálogos con herramientas para robar credenciales, como MailPassView y WebBrowserPassView. Estas utilidades se alojaban en directorios abiertos accesibles por HTTP, junto con otros programas: desde herramientas de recopilación de contraseñas hasta sistemas de gestión remota, incluido Quasar RAT. Algunos de estos catálogos contenían miles de archivos y cientos de subcarpetas, lo que indica su uso como una base completa para las operaciones.

También se prestó atención al uso por parte de Lazarus Group de la tecnología FRP (Fast Reverse Proxy), previamente observada en ataques a cadenas de suministro, incluido el incidente con 3CX. Los mismos binarios de FRP se alojaron en varios servidores VPS que operaban en el puerto 9999. Esto sugiere un despliegue automatizado de infraestructura que crea canales de comunicación persistentes entre máquinas comprometidas y servidores de control.

El seguimiento de certificados digitales desempeñó un papel importante en el análisis. Uno de esos certificados utilizado por Lazarus estaba asociado a doce direcciones IP, de las cuales diez se emplearon activamente en la distribución de malware. Las dos direcciones restantes, según datos adicionales, podrían haber estado implicadas en operaciones de Bluenoroff —otra subdivisión de las estructuras cibernéticas de Corea del Norte. Esto confirma que elementos concretos de la infraestructura pueden ser compartidos por distintos grupos.

La constancia observada en la adopción de los mismos enfoques permite no solo análisis retrospectivos, sino también la detección proactiva de nuevas amenazas. Herramientas recurrentes para el robo de datos, proxies configurados de forma idéntica, esquemas persistentes de alojamiento en VPS y la reutilización de certificados permiten construir sistemas efectivos de detección y contención de estos ataques.

Como resultado, quedó claro que, pese al desarrollo de componentes maliciosos y de escenarios de infección, son los elementos de la infraestructura los indicadores más fiables para rastrear las operaciones vinculadas a Corea del Norte. Su estabilidad y repetibilidad permiten identificar la actividad mucho antes del inicio de un ataque a gran escala.