Conoce a “Lazarus Gruop” El sindicato criminal de Corea del Norte

Conoce a “Lazarus Gruop” El sindicato criminal de Corea del Norte

El Grupo Lázaro es una notoria organización de ciberdelincuencia patrocinada por el Estado y vinculado a la República Popular Democrática de Corea. El grupo opera dentro de la principal agencia de inteligencia del país, la Oficina General de Reconocimiento (RGB). Los analistas creen que la mayoría de los miembros del Grupo Lazaro que operan desde Pyongyang. Corea del Norte y algunos operan en el extranjero a través de puestos de avanzada o empresas encubiertas.

 ¿Qué es el Lazarus Group?

Se refiere originalmente a un grupo de atacantes coordinados vinculados a Corea del Norte. Hoy en día, es un término general asignado a operaciones cibernéticas  dentro de la inteligencia militar de la RDPC. Investigadores de Mandiant crearon el siguiente diagrama en 2024 para ilustrar de mejor manera la jerarquía de la organización:

El MSS es una policía secreta civil y una agencia de contrainteligencia que realiza actividades de vigilancia interna y seguridad política, el MSS controla el flujo de información dentro del país y vigila la lealtad de la población norcoreana.

ATP37 realiza ciberoperaciones en apoyo a la misión del MSS. Entre 2020 y 2021, el grupo se centró en investigadores de la COVID-19 como parte de la respuesta de la RPDC a la pandemia. El grupo también realiza ataques continuos contra organizaciones surcoreanas que ayudan a desertores norcoreanos. APT37 no suele considerarse parte del Grupo Lazarus.

La pandemia de COVID-19 interrumpió las operaciones cibernéticas de la RPDC y separo a los operadores extranjeros de su liderazgo en Pyongyang. Los atacantes comenzaron a colaborar de diferentes maneras con el extranjero y ejecutar de este modo campañas de ransomware para financiar sus grupos sin el apoyo de la RGB. Como resultado, las operaciones cibernéticas de la RPDC tras la pandemia fueron muy diferentes a los anteriores. La alineación de la Oficina perdió relevancia a medida que evolucionaron los interes

 Clúster del Lazarus Group

Existen múltiples grupos activos en el RGB, y la mayoría de ellos se rastrean con más de un nombre. Estos grupos colaboran, comparten infraestructura y herramientas, y en ocasiones se dividen en grupos adicionales para proyectos específicos. Los actores del Grupo Lázaro se benefician de la protección y el apoyo del régimen, y reciben información de múltiples fuentes del sistema de inteligencia de la RPDC. Esto permite a los líderes y operadores del grupo identificar y adaptarse rápidamente a nuevas oportunidades.

Los investigadores suelen rastrear de cinco a ocho clústeres a la vez, incluyendo los clústeres basados en proyectos que aparecen y desaparecen. Los siguientes cuatro clústeres son los grupos principales: 

  • TEMP.Hermit, también conocido como Diamond Sleet, Labyrinth Chollima, Selective Pisces, TA404: Este grupo se centra en instituciones gubernamentales, de defensa, de telecomunicaciones y financieras de todo el mundo. El término "Grupo Lázaro" se refiere con mayor frecuencia a este grupo de actividades.
  • APT43 , también conocido como Kimsuky, Velvet Chollima, Black Banshee, Emerald Sleet, Sparkling Pisces y Thallium: La principal unidad de recopilación de inteligencia de Corea del Norte. Este grupo realiza espionaje sofisticado dirigido a Corea del Sur, Japón y los sectores gubernamentales, de defensa y académicos de Estados Unidos.
  • APT38 , también conocido como Bluenoroff, Stardust Chollima, BeagleBoyz, CageyChameleon: Esta amenaza es la principal operación con fines financieros en la RPDC. Estas operaciones se dirigen a bancos, plataformas de intercambio de criptomonedas y plataformas DeFi. APT38 evade las sanciones mediante operaciones masivas de robo de criptomonedas.
  • Andariel, también conocido como APT45 , Silent Chollima, Onyx Sleet DarkSeoul, Stonefly, Clasiopa: Este es un clúster de doble propósito que realiza ciberespionaje contra los sectores de defensa, aeroespacial y nuclear, así como operaciones de ransomware contra organizaciones sanitarias. Las operaciones de ransomware financian actividades de inteligencia.

Las operaciones del Grupo Lázaro tienen dos misiones principales. Además de las actividades de espionaje y sabotaje, el grupo se encarga de captar fondos para el régimen. La economía norcoreana depende de estos ingresos ilícitos, ya que el país ha estado aislado y lidiando con sanciones internacionales durante muchos años. El ciberdelito es una actividad relativamente económica que genera fondos fiables (hasta ahora) y a prueba de sanciones, que el régimen puede utilizar a su antojo. Los expertos sospechan que los fondos se utilizan para desarrollar programas armamentísticos. Según un informe de las Naciones Unidas de 2024 : 

  • El Grupo está investigando 58 presuntos ciberataques cometidos por la República Popular Democrática de Corea contra empresas relacionadas con criptomonedas entre 2017 y 2023, valorados en aproximadamente 3.000 millones de dólares, que supuestamente ayudan a financiar el desarrollo de armas de destrucción masiva del país.
  • La RPDC continuará con estos ciberataques mientras sigan siendo rentables y las sanciones internacionales se mantengan vigentes. Las operaciones delictivas financieras del Grupo Lazarus son un componente fundamental e indispensable de la economía nacional norcoreana. 
  • Esto no significa que la recopilación de inteligencia también sea importante. Durante la pandemia, se descubrió que el grupo robaba información confidencial sobre la vacuna contra la COVID-19 a Pfizer , AstraZeneca y otras empresas farmacéuticas y ministerios de salud . También atacó a entidades del gobierno ucraniano mientras los funcionarios estaban distraídos por el inicio de la invasión rusa.
  • Los investigadores de Kaspersky concluyeron que los clústeres de amenazas del Grupo Lazarus están estructurados para separar y proteger las actividades de espionaje de los ciberdelitos con fines financieros. Esta estructura también permite que el RGB proporcione solo la información más relevante a cada clúster, aunque esto es solo una especulación. Se ha observado que estos clústeres comparten malware, servidores y otra infraestructura, e incluso personal, por lo que es posible que todos tengan acceso a la misma información del RGB.   

Historia del origen

Las capacidades cibernéticas de Corea del Norte comenzaron en 1990 con la creación del Centro de Computación de Corea (KCC) , principal organismo responsable de la estrategia de tecnología de la información. En 1995 y 1998, el entonces Líder Supremo Kim Jong Il emitió directivas para que el Ejército Popular de Corea (KPA) desarrollará capacidades cibernéticas.

El Ejército Popular de Corea (EPC) era aproximadamente el doble del tamaño de sus homólogos surcoreanos, pero carecía de equipo y capacidades . Kim Jong Il reconoció que las operaciones cibernéticas podían ser un arma eficaz para compensar la brecha en la fuerza militar. Los expertos creen que la "guerra cibernética" se formalizó como dominio militar en 1998, y para el año 2000 ya se formaban estudiantes en esta especialidad.

El Grupo Lazarus surgió como un actor de amenazas a finales de la década de 2000, poco después de que las Naciones Unidas sancionaran a la RPDC por su prueba nuclear de 2006. Las sanciones se endurecieron con la llegada al poder del actual Líder Supremo, Kim Jong-un, y su régimen priorizó las demostraciones de su fuerza militar y digital . En este contexto, Lazarus se convirtió en una fuente de ingresos estatales basada en el robo económico y el ransomware global.

La primera campaña atribuida a Lazarus Group fue la "Operación Troya", que comenzó en 2009 como una oleada de ataques de denegación de servicio distribuidos (DDoS) contra sitios web gubernamentales de Estados Unidos y Corea del Sur. Estos ataques continuaron hasta 2013 , madurando hasta convertirse en una sofisticada operación que incluía espionaje y robo de información. Cerca del final de la operación, se lanzó malware destructivo de borrado de datos contra los objetivos. 

En marzo de 2011, el Grupo Lazarus lanzó una campaña conocida como " Diez Días de Lluvia". Medios de comunicación, bancos e infraestructuras críticas de Corea del Sur se vieron afectados por oleadas de ataques DDoS cada vez más sofisticados, lanzados desde ordenadores comprometidos ubicados en Corea del Sur. Dos años después, el grupo lanzó el ataque de borrado de datos DarkSeoul , que derribó a tres importantes emisoras, instituciones financieras y un proveedor de servicios de internet.

El Grupo Lazarus se posicionó como una sofisticada amenaza global el 24 de noviembre de 2014 al infiltrarse en Sony Pictures Entertainment. El grupo robó y publicó terabytes de datos internos , incluyendo correos electrónicos, información de empleados y películas y guiones inéditos. Las estaciones de trabajo de Sony también fueron atacadas con malware que las inutiliza. Este ataque fue una represalia por "The Interview", una película de comedia sobre un complot para asesinar al líder norcoreano. Corea del Norte niega su participación en el ataque, pero investigadores y funcionarios estadounidenses lo atribuyen con seguridad al Grupo Lazarus.

 Ataques financieros

El Grupo Lazarus aceleró sus delitos financieros alrededor de 2015. El grupo estuvo vinculado a un robo de 12 millones de dólares del Banco del Austro en Ecuador y de 1 millón de dólares del Banco Tien Phong en Vietnam . Estos robos fueron precursores del robo al Banco de Bangladesh en febrero de 2016 , donde Lazarus explotó la red bancaria SWIFT para robar 81 millones de dólares antes de ser descubierto y detenido.

En 2017, el Grupo Lazarus desató el gusano ransomware WannaCry , que se propagó globalmente y cifró datos en cientos de miles de computadoras. El ataque causó daños estimados en 4 mil millones de dólares a nivel mundial y más de 100 millones de dólares en interrupciones del sistema sanitario en el Reino Unido . El grupo solo recaudó unos 160.000 dólares, lo que llevó a muchos investigadores a creer que WannaCry era una demostración de poder y no un típico plan de rescate.

Casi al mismo tiempo, Lazarus lanzaba ataques contra plataformas de intercambio de criptomonedas, bancos y empresas de tecnología financiera. Para septiembre de 2018, el grupo había robado alrededor de 571 millones de dólares en criptomonedas de cinco plataformas de intercambio asiáticas , incluyendo aproximadamente 530 millones de dólares robados de Coincheck (Japón).

En 2020, Lazarus llevó a cabo un ataque a la cadena de suministro contra el programa de gestión de aplicaciones WIZVERA VeraPort . Este programa formaba parte de los mecanismos de seguridad utilizados por Corea del Sur para proteger los sitios web gubernamentales y de banca por internet. A esto le siguió un ataque contra el proveedor de software VoIP 3CX en 2023. Ambos ataques demostraron la capacidad del grupo para realizar ataques sigilosos de múltiples etapas contra las cadenas de suministro de software.

 Estafas de empleo de trabajadores falsos

Una de las estrategias actuales del grupo es el uso de ofertas de trabajo falsas y estafas a empleados para infiltrarse en empresas. Estas estrategias, conocidas como " Operación Trabajo Soñado ", se dirigen principalmente a los sectores de defensa, aeroespacial y gubernamental de Estados Unidos, Israel, Australia, Rusia e India.

En una versión de este ataque, los cibercriminales se hacen pasar por reclutadores de empresas prestigiosas. Estos falsos reclutadores utilizan perfiles en línea e inteligencia de fuentes abiertas (OSINT) para atacar a personas que trabajan en sectores como criptomonedas, tecnología financiera, defensa o desarrollo de software. El "reclutador" contacta a los candidatos a través de LinkedIn o correo electrónico con una oferta para postularse a un puesto bien remunerado. Si el objetivo muestra interés, el cibercriminal envía una descripción del puesto o un contrato de trabajo, que es  un documento con malware . Este ataque tuvo éxito contra un ingeniero de Axie Infinity , lo que resultó en una pérdida de 540 millones de dólares para la empresa .

Una segunda versión del ataque involucra a cibercriminales que se hacen pasar por trabajadores de TI o freelancers. Miles de trabajadores tecnológicos norcoreanos han sido enviados al extranjero para hacerse pasar por freelancers surcoreanos, japoneses u occidentales. Estos agentes aceptan trabajos de desarrollo de software o relacionados con criptomonedas en empresas globales bajo nombres falsos. También hay agentes que trabajan a través de granjas de computadoras portátiles , lo que oculta el verdadero origen del cibercriminal.

Algunos de estos trabajadores norcoreanos tienen la tarea de generar ingresos para la RGB. Otros están acusados de obtener acceso interno para desviar fondos, robar propiedad intelectual o instalar malware para facilitar futuros ataques de Lazarus.

Estas estafas de trabajadores falsos convierten el reclutamiento corporativo en un vector de ataque. Otros grupos de amenazas utilizan ataques similares, pero ninguno ha igualado el éxito ni el alcance de los vinculados al Grupo Lazarus.

 Cadena de infección y tácticas favoritas

El Grupo Lazarus utiliza varias tácticas comunes para obtener acceso a un sistema:

Correos electrónicos de phishing selectivo: Se ha observado que Lazarus envía correos electrónicos de phishing dirigidos a sus víctimas. Suelen ser mensajes políticos o financieros que instan al destinatario a actuar sobre un archivo adjunto o URL malicioso, y en ocasiones se combinan con exploits de día cero en software común. Esta sigue siendo la principal técnica de acceso inicial del grupo .

Explotación de vulnerabilidades de software: Lazarus utiliza y, en ocasiones, desarrolla exploits de día cero y puede convertir en armas exploits conocidos públicamente muy rápidamente.

Ataques de abrevadero y vulneración estratégica de sitios web: El grupo utiliza estas tácticas para llegar a un grupo demográfico objetivo . En un ataque, el Grupo Lazarus inyectó código malicioso en el sitio web de un regulador financiero polaco para infectar a empleados bancarios con descargas maliciosas. El grupo también ha comprometido sitios web legítimos de actualización de software para distribuir instaladores comprometidos.

Ataques a la cadena de suministro: Lazarus es experto en comprometer la cadena de suministro , como lo demuestran los ataques mencionados anteriormente.

Ingeniería social y perfiles falsos: Además de las estafas a trabajadores, Lazarus crea otras identidades falsas, como posibles socios comerciales o inversores. Por ejemplo, se han hecho pasar por inversores de capital riesgo interesados en invertir en una startup de criptomonedas para establecer una relación y luego compartir un documento de diligencia debida con malware.

Malware plantado por un conspirador de Lazarus: los "trabajadores falsos" que se infiltran en empresas extranjeras pueden colocar malware en un sistema para abrir una puerta a los operadores del Grupo Lazarus.

Los ataques no relacionados con la ingeniería social del Grupo Lazarus presentan una cadena completa de ataques APT , que comienza con el acceso inicial mediante correo electrónico de phishing selectivo o una vulnerabilidad explotada. Una vez dentro de la red, los actores de amenazas instalan malware que abre una puerta trasera simple que confirma la conectividad con los servidores de comando y control (C2). Si el grupo determina que el equipo infectado es un controlador de dominio u otro dispositivo sensible, procede al ataque.

En este punto, el Grupo Lazarus instalará un conjunto completo de herramientas en el sistema objetivo. Esto incluye herramientas más avanzadas como registradores de pulsaciones de teclas, escáneres de red y puertas traseras de segunda etapa que pueden controlar completamente el equipo. Estas cargas útiles se ocultan en el registro o se hacen pasar por archivos legítimos para evitar su detección.

El siguiente paso es escalar privilegios y moverse lateralmente entre servidores, lo que suele lograrse mediante exploits conocidos o credenciales robadas. Dependiendo de la misión, podrían buscar y robar datos específicos o identificar sistemas de transacciones financieras y prepararse para robar fondos. Por ejemplo, en la operación «FASTCash» , Lazarus implantó malware en los servidores de conmutación de pagos de los bancos para aprobar retiros fraudulentos de efectivo en cajeros automáticos.

El grupo intenta ocultar sus huellas de diversas maneras. Un método consiste en configurar malware destructivo para que se ejecute a una hora programada. Este fue el caso del robo al Banco de Bangladesh, donde el grupo instaló malware que alteraba o eliminaba registros de transacciones y archivos de registro. Esto pretendía impedir que el banco viera las transferencias fraudulentas. Lazarus también ha instalado fragmentos y código en ruso de malware de otros países para dificultar la atribución. También operan a través de ordenadores en otros países para ocultar las IP de Corea del Norte.

 Los desertores

Gran parte de la información que tenemos sobre Corea del Norte y el Grupo Lázaro proviene de antiguos miembros del RGB y otras agencias de alto nivel. Estos desertores ahora viven y trabajan bajo identidades diferentes, por lo que se puede suponer que las siguientes personas usan seudónimos. El desertor más destacado es Kim Kuk-song, quien trabajó en la inteligencia norcoreana durante 30 años. Huyó a Corea del Sur en 2014. 

En una entrevista con la BBC en 2021 , Kim confirmó que el Grupo Lazarus está bajo control estatal de alto nivel y que sus agentes están altamente entrenados y dirigidos a "ganar dinero a toda costa" para el Líder Supremo. Describió el ciberespacio como una "guerra secreta" para Corea del Norte, y que estos agentes cumplen misiones que las fuerzas armadas convencionales no pueden . También afirmó que las operaciones cibernéticas se utilizan para eliminar enemigos y apoyar otros negocios ilícitos de Corea del Norte , como el tráfico de drogas y armas.

Kim Heung-kwang es un exprofesor de informática que formó a los agentes de la RGB. Desertó en 2004 y estima que Corea del Norte contaba con unos 6.000 ciberguerreros entrenados para 2015.

Jang Se-yul abandonó Corea del Norte en 2007. Estudió en la Universidad Mirim , la escuela militar de élite para ciberoperativos. En una entrevista con Reuters, afirmó que los actores de amenazas de RGB eran cuidadosamente seleccionados y entrenados desde una edad temprana , y que para 2014 había alrededor de 1800. También confirmó que las familias de los hackers norcoreanos que operan en China y otros países se mantienen como garantía, pero podrían recibir recompensas por el éxito de la operación cibernética.

Algunos desertores de bajo nivel que trabajaban en TI han mencionado que los ciberoperadores viven en condiciones mucho mejores que el ciudadano promedio. Entre las ventajas se incluyen mejor alimentación y acceso a películas extranjeras y noticias internacionales. Estos son lujos en la RPDC.

Si bien las historias de los desertores varían, describen consistentemente un programa de piratería informática centralizado, estrictamente controlado y bien financiado. Estos relatos también revelan la mentalidad detrás de las operaciones: los miembros del Grupo Lázaro se consideran trabajadores leales al servicio de su país, impulsados por privilegios, ideología y preocupación por sus familias.

 Protégete

El Grupo Lazarus es una amenaza global legítima en múltiples niveles. Puede perturbar el funcionamiento de empresas de todo el mundo, robar cientos de millones en criptomonedas y transferencias bancarias, infiltrarse en empresas haciéndose pasar por empleados con identidades falsas, infectar a empresas mediante estafas de contratación laboral y mucho más. Es fundamental que nos mantengamos alerta ante el Grupo Lazarus, que ya se considera en guerra con el mundo.

 ¿Cómo protegerse de trabajos falso y estafas de empleados?

Verificación estricta en la contratación: Las empresas deben implementar una evaluación exhaustiva de sus nuevos empleados, especialmente para puestos remotos. Esto incluye realizar entrevistas por video en vivo (varias rondas) para verificar la identidad de la persona con sus documentos y realizar rigurosas verificaciones de antecedentes.

Capacitación para RR. HH. y gerentes de contratación: El personal de RR. HH. debe recibir capacitación para detectar indicios de un candidato falso. Las señales de alerta más comunes son la negativa a realizar videollamadas, horarios inusuales que pueden sugerir zonas horarias extranjeras y currículums demasiado genéricos o demasiado completos.

Educación a los empleados sobre ofertas de trabajo no solicitadas: Se debe informar a los empleados que las ofertas de trabajo no solicitadas pueden ser una trampa para el phishing y que los reclutadores legítimos no piden a los candidatos que instalen aplicaciones ni ejecuten archivos ejecutables durante el proceso de contratación. Anime a los empleados a revelar las ofertas de trabajo importantes que aparecen inesperadamente, para que la empresa pueda determinar si se trata de un ataque.

Cuentas personales seguras: Anime a los empleados a proteger su correo electrónico y redes sociales con contraseñas seguras y únicas, y autenticación de dos factores. Lazarus a veces utiliza credenciales robadas para comprometer el correo electrónico personal o las cuentas de LinkedIn de los empleados. Una buena gestión de contraseñas reduce el riesgo de una vulneración.

Defensa contra los ciberataques del Grupo Lazarus:

Gestión de parches y segmentación de la red: Una de las mejores defensas es eliminar las vulnerabilidades explotadas por el Grupo Lazarus. Aplique parches al software crítico con prontitud para evitar que Lazarus utilice vulnerabilidades conocidas como entrada. El ataque al Banco de Bangladesh, según se informa, tuvo éxito en parte gracias a sistemas sin parches y a la ausencia de filtros de salida en el firewall . Segmente su red para restringir el movimiento lateral y asegúrese de aislar los sistemas sensibles en su propia red con acceso limitado.

Protección de endpoints: Implemente herramientas avanzadas como Barracuda Managed XDR en estaciones de trabajo y servidores. Esta protección detectará el malware Lazarus que se ejecuta en endpoints. El grupo modifica constantemente el malware, pero la detección basada en el comportamiento  puede detectar y alertar sobre procesos sospechosos.

Gestión robusta de identidades y accesos (IAM): Implemente la autenticación multifactor (MFA) en todas partes, especialmente para el acceso remoto y las cuentas administrativas. Aplique el principio de mínimo privilegio y asegúrese de que los empleados solo tengan los permisos necesarios para realizar su trabajo. Los sistemas de alto valor solo deben ser accesibles para un número reducido de cuentas protegidas por MFA o tokens físicos como YubiKey o Thetis .

Monitoreo del tráfico saliente: Lazarus utiliza servidores C2 para gestionar ataques y exfiltrar datos. Utilice la monitorización de red para detectar anomalías, como cargas desde un servidor interno a una IP externa desconocida, o balizamiento continuo a una IP desconocida para la empresa. Una solución de prevención de pérdida de datos (DLP) puede ayudar a detectar y detener la exfiltración de datos confidenciales.

Seguridad del correo electrónico y antiphishing: Refuerce las puertas de enlace de correo electrónico para filtrar archivos adjuntos y enlaces maliciosos. Utilice el sandbox para archivos adjuntos y la reescritura de URL para analizar los enlaces al hacer clic. Esto ayudará a proteger a los usuarios contra el phishing selectivo y los ataques de reclutamiento. Capacite a los empleados para que verifiquen correos electrónicos inesperados e implemente simulacros de phishing y simulacros de seguridad rutinarios .

Plan de respuesta a incidentes y copias de seguridad: Disponga de un plan de respuesta a incidentes y realice copias de seguridad periódicas de los sistemas críticos sin conexión. Si un agente de amenazas como Lazarus Group borra o cifra datos, debería poder restaurarlos desde un sistema de copia de seguridad protegido . Practique sus procedimientos de respuesta a incidentes y recuperación de datos.

Búsqueda de amenazas para técnicas conocidas del Grupo Lazarus: Busque proactivamente en su entorno indicios de Lazarus. Busque hashes de malware conocidos y otros comportamientos sospechosos. Compruebe herramientas legítimas como TightVNC o tareas programadas inusuales, que pueden ser indicadores de un ataque.

Adopte la Confianza Cero: Adopte un enfoque de confianza cero, asumiendo que cualquier usuario o dispositivo podría verse comprometido en cualquier momento. La confianza cero valida al usuario y al dispositivo continuamente, incluso entre segmentos internos, y detectará a las máquinas y usuarios que intenten acceder a algo que no esté permitido. 

JR