FBI, Departamento de Estado de EE. UU., NSA, NIS de Corea del Sur, NPA y MOFA emiten un aviso conjunto destacando la participación de Kimsuky en actividades cibernéticas ilícitas.
En un movimiento sin precedentes, varias agencias de inteligencia internacionales han emitido un aviso conjunto que señala a Kimsuky, un grupo de ciberespionaje, como parte de la Oficina General de Reconocimiento (RGB) de Corea del Norte.
El anuncio, realizado en conjunto por el FBI, el Departamento de Estado de EE. UU., la Agencia de Seguridad Nacional (NSA), el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, la Agencia Nacional de Policía (NPA) y el Ministerio de Asuntos Exteriores (MOFA), resalta la preocupante participación de Kimsuky en actividades cibernéticas ilícitas.
Kimsuky ha estado en el radar de las agencias de inteligencia desde al menos 2012, cuando se detectaron sus primeras operaciones.
El grupo ha llevado a cabo una serie de ciberataques altamente sofisticados y dirigidos contra objetivos específicos, principalmente en Corea del Sur y Japón.
Su modus operandi ha involucrado el robo de información sensible, espionaje cibernético y vigilancia encubierta, lo que ha generado preocupación en la comunidad internacional.
La decisión de emitir este aviso conjunto es un testimonio del creciente reconocimiento de la amenaza que representa Kimsuky y la determinación de los países involucrados en hacer frente a las actividades cibernéticas ilícitas.
Esta colaboración sin precedentes entre las agencias de inteligencia de Estados Unidos y Corea del Sur refuerza la importancia de la cooperación internacional para abordar las amenazas cibernéticas transnacionales.
El anuncio conjunto también busca enviar un mensaje claro a Corea del Norte, instando al gobierno a tomar medidas para poner fin a las actividades de Kimsuky y garantizar la seguridad cibernética global.
La implicación de la Oficina General de Reconocimiento (RGB) en las operaciones de este grupo de ciberespionaje destaca la preocupante capacidad de Corea del Norte para llevar a cabo actividades cibernéticas hostiles y subraya la necesidad de fortalecer la seguridad cibernética en todo el mundo.
A medida que la comunidad internacional continúa enfrentando amenazas cibernéticas cada vez más sofisticadas, este aviso conjunto refuerza la importancia de la cooperación entre países y agencias de inteligencia.
La identificación y atribución de actores maliciosos, como Kimsuky, son cruciales para frenar los ciberataques y proteger la seguridad cibernética global.
El grupo de ciberespionaje conocido como Kimsuky ha sido identificado como responsable de campañas de espionaje a gran escala desde al menos 2012, según informaciones de fuentes de seguridad.
Conocido también como Thallium y Velvet Chollima, Kimsuky ha estado llevando a cabo operaciones de ciberespionaje en apoyo de los objetivos de inteligencia nacional durante más de una década, lo que plantea graves preocupaciones sobre la seguridad cibernética y el espionaje a nivel global.
Las actividades de Kimsuky han sido amplias y altamente sofisticadas. El grupo ha estado involucrado en una serie de campañas de espionaje dirigidas a objetivos específicos, con un enfoque particular en Corea del Sur y Japón.
Su modus operandi se caracteriza por la infiltración en redes y sistemas informáticos, así como por el robo de información sensible y la vigilancia encubierta.
Bajo los alias de Thallium y Velvet Chollima, Kimsuky ha logrado evadir la detección durante años, lo que ha complicado los esfuerzos de atribución y respuesta por parte de las agencias de inteligencia.
Sin embargo, gracias a la colaboración y el intercambio de información entre el FBI, el Departamento de Estado de EE. UU., la Agencia de Seguridad Nacional (NSA), el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, la Agencia Nacional de Policía (NPA) y el Ministerio de Asuntos Exteriores (MOFA), se ha logrado una mayor comprensión de las operaciones de este grupo.
Las revelaciones sobre las campañas de espionaje a gran escala de Kimsuky destacan la creciente sofisticación y alcance de las amenazas cibernéticas en el panorama mundial.
El hecho de que el grupo haya estado operando durante más de una década pone de relieve la necesidad de una mayor cooperación internacional y de una sólida infraestructura de seguridad cibernética.
A medida que los países y las agencias de inteligencia continúan enfrentando estas crecientes amenazas, la identificación y el seguimiento de grupos como Kimsuky son de vital importancia para salvaguardar la seguridad nacional y global.
La comunidad internacional debe estar preparada para tomar medidas proactivas para fortalecer las defensas cibernéticas y contrarrestar las actividades de ciberespionaje y robo de información por parte de actores maliciosos como Kimsuky.
Spear-phishing disfrazados de periodistas
El grupo de piratas informáticos conocido como Kimsuky ha ganado notoriedad por su habilidad para planificar y ejecutar ataques de phishing meticulosos. Utilizando direcciones de correo electrónico que se asemejan a las de personas reales y elaborando contenido realista y convincente, estos ciberdelincuentes han perfeccionado sus tácticas para engañar a sus objetivos y obtener información valiosa.
El phishing es una técnica de ciberataque que implica el envío de correos electrónicos falsos que aparentan ser legítimos, con el objetivo de robar información personal, credenciales de inicio de sesión o incluso instalar malware en los sistemas de las víctimas. Kimsuky ha demostrado una maestría particular en esta táctica, utilizando métodos altamente sofisticados para engañar incluso a los usuarios más cautelosos.
Uno de los aspectos destacados de los ataques de phishing de Kimsuky es su capacidad para crear direcciones de correo electrónico que se asemejan de manera asombrosa a las de personas reales.
Estas direcciones pueden incluir pequeñas variaciones o errores sutiles que pasan desapercibidos a primera vista, lo que dificulta la detección por parte de los destinatarios del correo electrónico.
Esta técnica aumenta la probabilidad de que las víctimas abran y respondan a los mensajes, creyendo erróneamente que provienen de fuentes confiables.
Además, Kimsuky dedica un tiempo considerable a la elaboración de contenido realista y convincente para sus comunicaciones.
Ya sea imitando comunicaciones empresariales, correos electrónicos de instituciones financieras o incluso mensajes personales, el grupo se esfuerza por hacer que sus correos electrónicos sean creíbles y persuasivos.
Esto incluye el uso de nombres y terminología específicos de la industria, así como la personalización de los mensajes para adaptarse al objetivo.
Estas tácticas meticulosas y bien orquestadas hacen que los ataques de phishing de Kimsuky sean especialmente peligrosos.
Sus víctimas pueden ser engañadas fácilmente, confiando en la aparente autenticidad de las comunicaciones y revelando información confidencial o haciendo clic en enlaces y archivos adjuntos maliciosos.
La lucha contra este tipo de ataques requiere una combinación de educación, conciencia y tecnología de seguridad avanzada.
Los usuarios deben ser cautelosos al interactuar con correos electrónicos, incluso si parecen legítimos, y deben verificar cuidadosamente las direcciones de remitente y el contenido de los mensajes antes de tomar cualquier acción.
Además, las empresas y las instituciones deben implementar soluciones de seguridad sólidas que ayuden a detectar y bloquear los ataques de phishing, así como a capacitar a su personal en la identificación de amenazas cibernéticas.
A medida que Kimsuky continúa refinando sus tácticas, es fundamental que las agencias de seguridad cibernética y los gobiernos fortalezcan sus medidas de protección y cooperación internacional.
La lucha contra el ciberespionaje y los ataques de phishing requiere una respuesta concertada y estratégica.
En respuesta a las crecientes amenazas, los organismos de inteligencia y seguridad de varios países han intensificado los esfuerzos de colaboración para compartir información sobre Kimsuky y otros actores maliciosos.
La coordinación efectiva entre el FBI, el Departamento de Estado de EE. UU., la Agencia de Seguridad Nacional (NSA), el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, la Agencia Nacional de Policía (NPA) y el Ministerio de Asuntos Exteriores (MOFA) es esencial para combatir estas amenazas transnacionales.
Además de la cooperación internacional, la inversión en tecnología de seguridad avanzada y la educación en conciencia cibernética son clave para proteger a los individuos y las organizaciones contra los ataques de phishing.
Las soluciones de seguridad basadas en inteligencia artificial y aprendizaje automático pueden ayudar a detectar patrones y comportamientos sospechosos en los correos electrónicos, proporcionando una capa adicional de defensa contra los ataques.
Asimismo, las campañas de concienciación y entrenamiento son esenciales para educar a los usuarios sobre las tácticas de phishing y los riesgos asociados.
Los individuos deben ser conscientes de las señales de advertencia comunes, como errores gramaticales o ortográficos, solicitudes inusuales de información personal o financieramente sensible, y direcciones de correo electrónico sospechosas.
Al fomentar una cultura de seguridad cibernética sólida, se puede reducir la efectividad de los ataques de phishing.
En última instancia, la lucha contra grupos como Kimsuky es una batalla en constante evolución.
A medida que mejoran sus técnicas, las agencias de inteligencia y los actores de la seguridad cibernética deben mantenerse a la vanguardia de las últimas tendencias y tecnologías.
La colaboración continua y la adaptabilidad estratégica serán fundamentales para contrarrestar las amenazas de ciberespionaje y proteger la seguridad y la privacidad de las personas y las organizaciones en todo el mundo.
“Durante más de una década, los actores de Kimsuky han seguido perfeccionando sus técnicas de ingeniería social y han hecho que sus esfuerzos de phishing sean cada vez más difíciles de discernir”, advierte el aviso conjunto emitido por las agencias de inteligencia internacionales.
Uno de los enfoques engañosos utilizados por Kimsuky es hacerse pasar por periodistas y escritores, utilizando identidades falsas para interactuar con individuos y obtener información confidencial. En un intento por ganar la confianza de sus objetivos, los piratas informáticos se centran en temas de actualidad relacionados con la península de Corea, el programa de armas de Corea del Norte, las conversaciones con Estados Unidos, la postura de China y otros asuntos políticos de interés.
Esta táctica de suplantación de identidad periodística es especialmente preocupante, ya que los periodistas y escritores desempeñan un papel importante en la sociedad como generadores de noticias e información.
Al aprovechar esta posición de confianza, los actores de Kimsuky buscan infiltrarse en redes y sistemas informáticos para obtener acceso a información sensible y, potencialmente, influir en los acontecimientos políticos y diplomáticos de la región.
La sofisticación de estas operaciones de phishing, combinada con la utilización de identidades falsas de periodistas y escritores, dificulta aún más la detección y la protección contra tales ataques.
Es fundamental que tanto los profesionales de los medios de comunicación como el público en general estén alerta y tomen precauciones adicionales al interactuar en línea.
Como medida de precaución, se recomienda verificar cuidadosamente las identidades de las personas con las que se interactúa en línea, especialmente cuando se trata de temas sensibles o políticamente cargados.
Confirmar la autenticidad de una cuenta de correo electrónico o una identidad en las redes sociales puede ayudar a prevenir el riesgo de caer en un ataque de phishing.
Además, las organizaciones de medios y los profesionales de la comunicación deben implementar medidas de seguridad cibernética sólidas, como autenticación de dos factores, capacitación en conciencia de seguridad y políticas de manejo de información confidencial.
Al fortalecer las defensas cibernéticas y fomentar una cultura de seguridad en la industria de los medios, se puede mitigar el riesgo de ser víctima de los ataques de ingeniería social de Kimsuky y otros actores maliciosos.
El aviso conjunto revela que entre los temas observados en los ataques de Kimsuky se encuentran las consultas, las invitaciones a entrevistas, las encuestas permanentes y las solicitudes de informes o revisión de documentos.
Estos temas cuidadosamente seleccionados reflejan la estrategia de ingeniería social empleada por el grupo para ganarse la confianza de sus objetivos.
Una característica destacada de los correos electrónicos iniciales enviados por Kimsuky es que suelen estar libres de malware o archivos adjuntos maliciosos.
En lugar de buscar un compromiso rápido, estos correos electrónicos buscan establecer una relación de confianza con el objetivo.
Los actores detrás de Kimsuky se dedican a perfeccionar su técnica de ingeniería social, diseñando mensajes persuasivos y convincentes que parecen legítimos.
Al evitar adjuntar malware en los primeros correos electrónicos, Kimsuky busca evitar la detección temprana de sus actividades maliciosas.
Esto les permite continuar la comunicación con la víctima sin levantar sospechas y, a medida que se establece una relación de confianza, aumenta la probabilidad de que el objetivo acceda a solicitudes posteriores, como abrir enlaces o archivos adjuntos que podrían contener contenido malicioso.
Esta estrategia pone de manifiesto la importancia de ejercer una cautela constante al interactuar con correos electrónicos, incluso aquellos que parecen inofensivos o provenientes de fuentes aparentemente confiables.
Aunque los primeros correos electrónicos de Kimsuky pueden parecer inofensivos, es fundamental mantener una actitud de precaución y utilizar buenas prácticas de seguridad cibernética, como verificar las direcciones de correo electrónico, analizar cuidadosamente los mensajes y evitar hacer clic en enlaces o abrir archivos adjuntos sospechosos.
La conciencia de seguridad cibernética y la capacitación en la detección de ataques de ingeniería social son herramientas fundamentales en la defensa contra grupos como Kimsuky.
Además, las organizaciones y los individuos deben implementar soluciones de seguridad cibernética avanzadas que incluyan filtrado de correo electrónico, análisis de contenido y sistemas de detección de amenazas para mitigar los riesgos asociados con el phishing y otros ataques de ingeniería social.
En un entorno digital cada vez más complejo, la vigilancia constante y la adopción de medidas de seguridad adecuadas son esenciales para protegerse contra los intentos de phishing de grupos como Kimsuky y mantener la integridad de la información y la seguridad cibernética.
Según el aviso conjunto emitido por el FBI, Kimsuky ha demostrado persistencia en su enfoque de phishing. Si un objetivo no responde a los correos electrónicos iniciales, el grupo envía un mensaje de seguimiento después de unos días para intentar reactivar la comunicación.
A pesar de los esfuerzos del adversario, los correos electrónicos de seguimiento en inglés utilizados por Kimsuky a veces presentan estructuras de oración que pueden generar sospechas. Sin embargo, lo que es preocupante es que estos correos electrónicos también pueden contener extractos completos de comunicaciones anteriores de la víctima con contactos legítimos. Estos extractos han sido previamente robados por Kimsuky.
El uso de extractos de comunicaciones anteriores robadas es una táctica diseñada para aumentar la credibilidad y la apariencia de autenticidad de los correos electrónicos de seguimiento.
Al incluir fragmentos de conversaciones previas, los actores de Kimsuky buscan engañar a la víctima haciéndoles creer que están respondiendo a una correspondencia legítima y continua.
Esta estrategia está destinada a reducir la sospecha y a aumentar la probabilidad de que la víctima interactúe y proporcione información adicional o realice acciones solicitadas.
El hecho de que Kimsuky tenga acceso a comunicaciones previas de las víctimas con contactos legítimos resalta la sofisticación de sus actividades de espionaje y el alcance de su infiltración en los sistemas informáticos.
La capacidad de robar y utilizar extractos completos de comunicaciones anteriores demuestra la amplitud del compromiso y la dedicación de este grupo.
En respuesta a esta amenaza persistente, es fundamental que las organizaciones y los individuos refuercen sus medidas de seguridad cibernética.
Esto incluye implementar autenticación de dos factores, mantener sistemas y software actualizados, realizar capacitaciones regulares en seguridad cibernética y mantener una vigilancia constante para detectar cualquier actividad sospechosa.
Además, es importante educar a los usuarios sobre las tácticas de ingeniería social utilizadas por Kimsuky y otros grupos similares.
Alentando una mayor conciencia de los riesgos asociados con el phishing y proporcionando pautas claras sobre cómo identificar y responder adecuadamente a los intentos de manipulación, se puede reducir la efectividad de estos ataques.
La lucha contra grupos como Kimsuky requiere una combinación de tecnología avanzada, capacitación en seguridad cibernética y colaboración entre agencias de inteligencia y organizaciones de seguridad cibernética a nivel nacional e internacional.
Solo a través de un enfoque integral y una respuesta coordinada podemos contrarrestar eficazmente las amenazas de phishing y proteger la seguridad y la privacidad de los individuos y las instituciones.
Cuando el objetivo de Kimsuky es Corea del Sur, el aviso conjunto indica que los mensajes de phishing pueden contener un dialecto distinto al utilizado en Corea del Norte.
Esta táctica puede ser empleada para generar una mayor sensación de familiaridad y credibilidad entre el grupo de ataque y la víctima, aprovechando las diferencias culturales y lingüísticas entre las dos regiones.
Además, el aviso conjunto señala que las direcciones utilizadas para enviar los correos electrónicos de phishing falsificados suelen suplantar a personas o entidades legítimas.
Sin embargo, hay un detalle clave que los diferencia: estos correos electrónicos fraudulentos contienen sutiles errores ortográficos. Estos errores pueden ser difíciles de detectar a simple vista, pero pueden servir como una señal de advertencia para los destinatarios más atentos.
La inclusión deliberada de errores ortográficos en los correos electrónicos de phishing tiene como objetivo evadir los sistemas de detección de spam y persuadir a las víctimas de que el mensaje proviene de una fuente legítima.
Esta estrategia se basa en la premisa de que los destinatarios pueden pasar por alto los errores menores o considerarlos simples descuidos, lo que aumenta la posibilidad de que caigan en la trampa.
Para protegerse contra este tipo de ataques, es esencial que los destinatarios estén atentos a cualquier signo de irregularidad o sospecha en los correos electrónicos que reciben.
La revisión cuidadosa de la ortografía, la gramática y el formato de los mensajes puede ayudar a detectar posibles intentos de phishing.
Además, es importante recordar que las organizaciones legítimas suelen tener prácticas de seguridad establecidas y es poco probable que envíen correos electrónicos con errores ortográficos obvios.
En última instancia, la conciencia de seguridad y la educación sobre los riesgos del phishing son fundamentales para protegerse contra los intentos de engaño de grupos como Kimsuky.
Al estar alerta y tomar precauciones adicionales, se puede reducir significativamente el riesgo de caer en estas trampas cibernéticas y proteger tanto la información personal como la seguridad en línea.
Cómo frenar a Kimsuky
El aviso conjunto emitido por las agencias de seguridad proporciona un conjunto de medidas de mitigación para ayudar a proteger a los usuarios contra los intentos de phishing y ataques de Kimsuky.
Estas medidas incluyen:
- Utilizar contraseñas seguras y habilitar la autenticación multifactor (MFA): Es importante asegurarse de que las contraseñas utilizadas sean robustas y únicas para cada cuenta. Además, habilitar la autenticación multifactor añade una capa adicional de seguridad al requerir una segunda forma de verificación, como un código enviado al teléfono móvil, para acceder a la cuenta.
- No habilitar macros en documentos adjuntos de correos electrónicos de remitentes desconocidos: Es importante ejercer precaución al recibir documentos adjuntos en correos electrónicos de personas desconocidas. No se deben habilitar las macros en estos documentos, ya que pueden ser utilizados para ejecutar código malicioso en el sistema.
- Ser cauteloso con los documentos enviados desde servicios de alojamiento en la nube conocidos: Aunque los archivos enviados desde servicios de alojamiento en la nube conocidos pueden parecer legítimos, no se debe asumir automáticamente que son seguros. Es importante verificar cuidadosamente los remitentes y la legitimidad de los archivos antes de abrirlos o descargarlos.
- Verificar la validez de los mensajes que provienen de grupos de medios o periodistas: Si se tiene alguna duda acerca de un mensaje que afirma provenir de un grupo de medios o un periodista, es recomendable visitar el sitio web oficial de esa organización y confirmar la validez de la información de contacto. Esto ayuda a evitar la suplantación de identidad y garantizar que la comunicación sea legítima.
- Realizar videollamadas preliminares para disipar cualquier incertidumbre: Si existe alguna duda sobre la autenticidad de la comunicación con un remitente desconocido, el aviso conjunto sugiere llevar a cabo una videollamada preliminar. Esto puede ayudar a verificar la identidad del remitente y disipar cualquier incertidumbre antes de decidir continuar la comunicación.
Estas medidas de mitigación son importantes para fortalecer la seguridad cibernética y protegerse contra los intentos de phishing. Al implementar estas prácticas recomendadas, los usuarios pueden reducir significativamente el riesgo de caer en trampas cibernéticas y mantener sus datos personales y la seguridad en línea.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM