Desarroladores de software en la mira: Grupo Lazarus y su operacion 99.

Diego Cortes R. miércoles, enero 15, 2025Compartir:

 El 9 de enero, el equipo STRIKE de SecurityScorecard descubrió la Operación 99, un ciberataque orquestado por el Grupo Lazarus, la unidad de piratería patrocinada por el estado de Corea del Norte. Esta campaña tiene como objetivo a desarrolladores de software interesados en trabajos freelance en el ámbito de Web3 y criptomonedas. Si creías que las ofertas de trabajo falsas de la campaña Operation Dream Job del grupo eran alarmantes, esta nueva táctica representa una verdadera lección en engaño, sofisticación y malas intenciones.

Los desarrolladores son la columna vertebral de la innovación tecnológica, en particular en la Web3 y las criptomonedas. Si se los ataca, se desencadena un efecto dominó de sistemas individuales comprometidos a lo largo de la cadena de suministro. Operation 99 aprovecha esta dinámica y explota la confianza dentro de las comunidades de desarrolladores.

La campaña comienza con reclutadores falsos que se hacen pasar por plataformas como LinkedIn y atraen a los desarrolladores con pruebas de proyectos y revisiones de código. Una vez que la víctima muerde el anzuelo, se la dirige a clonar un repositorio malicioso de GitLab, aparentemente inofensivo, pero lleno de desastres. El código clonado se conecta a servidores de Comando y Control (C2) , incorporando malware en el entorno de la víctima.


Herramientas del Grupo Lazarus

1. Malware modular: una amenaza que cambia de forma

El ataque se basa en un sistema de malware de varias etapas con componentes modulares, entre los que se incluyen:

  • Main99 : un descargador que se conecta a servidores C2 y recupera cargas útiles adicionales.
  • Payload99/73 : Implantes capaces de registrar teclas, monitorear el portapapeles y exfiltrar archivos.
  • MCLIP : Un implante dedicado para la monitorización del teclado y del portapapeles.

Este marco modular es tan flexible como peligroso. Funciona en todas las plataformas (Windows, macOS y Linux) y se integra en los flujos de trabajo de los desarrolladores con precisión quirúrgica. Al adaptar el malware a cada objetivo, el Grupo Lazarus garantiza el máximo impacto con la mínima detección.


2. Infraestructura avanzada de mando y control

Los servidores C2 de Operation 99 están alojados por “Stark Industries LLC”, que implementa scripts de Python muy ofuscados. Estos scripts comprimen datos mediante ZLIB y adaptan las cargas útiles a víctimas específicas, lo que hace que la detección sea casi imposible. Al ajustar dinámicamente el malware, los atacantes mantienen una conexión persistente con el sistema de la víctima mientras mantienen sus actividades bajo el radar.

3. Orientación a datos de alto valor

¿Cuál es el objetivo final? Sí, se trata de generar disrupción; se trata de robo: propiedad intelectual, configuraciones confidenciales y claves de billeteras de criptomonedas . Estos atacantes lo quieren todo:

  • Código fuente : Explotación de repositorios para desviar propiedad intelectual.
  • Secretos : archivos de configuración, claves API y credenciales.
  • Criptomoneda : claves de billetera y mnemotécnicos, a menudo con un valor de millones.

Para un régimen desesperado por fondos, esta combinación de robo de propiedad intelectual y fraude financiero es una tormenta perfecta.


¿Qué podemos aprender?

La Operación 99 muestra lo vulnerable que es la industria tecnológica a los ataques dirigidos. Para defenderse de este tipo de amenazas es necesario tomar medidas concretas y viables:

  • Vigilancia contra la ingeniería social : Verifique reclutadores y ofertas de trabajo en plataformas como LinkedIn.
  • Seguridad del repositorio : examine los repositorios de Git antes de clonarlos, especialmente cuando trabaje en sectores de alto riesgo.
  • Protección de puntos finales : utilice soluciones de seguridad de puntos finales avanzadas para detectar actividad inusual.
  • Capacitación y concientización : brindar a los desarrolladores el conocimiento para identificar señales de alerta en correos electrónicos, repositorios y perfiles de LinkedIn.

Fuente e Imagenes Propiedad de: https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!