I Ricercatori di Proofpoint hanno analizzato le attività del gruppo cybercriminale TA427 (noto anche come Emerald Sleet, APT43, THALLIUM e Kimsuky), allineato alla Repubblica Popolare Democratica di Corea (Corea del Nord) che lavora a sostegno del Reconnaissance General Bureau ed è particolarmente prolifico nelle campagne di phishing via e-mail rivolte a esperti per ottenere informazioni sulla politica estera degli Stati Uniti e della Repubblica di Corea (Corea del Sud).
TA427 è uno degli attori di minacce maggiormente attivi allineati a uno stato attualmente monitorati da Proofpoint. Negli ultimi mesi, i ricercatori hanno osservato l’adozione di nuove tattiche aggiuntive, tra cui lo spoofing di individui e l’incorporazione di web beacon.
Questi i risultati principali della ricerca:
- Dal 2023, TA427 ha sollecitato direttamente esperti di politica estera per avere le loro opinioni sul disarmo nucleare, sulle politiche di Stati Uniti e Regno Unito e su argomenti relativi alle sanzioni, attraverso email benevole mirate ad avviare una conversazione. Negli ultimi mesi, i ricercatori di Proofpoint hanno osservato un flusso costante, e a volte crescente, di queste attività.
- Oltre a utilizzare contenuti di richiamo creati appositamente, TA427 sfrutta molto i personaggi legati ai think tank e alle organizzazioni non governative per legittimare le sue email e aumentare le probabilità che gli obiettivi si sentano coinvolti.
- Se i ricercatori Proofpoint hanno sempre osservato TA427 affidarsi a tattiche di social engineering e ruotare regolarmente la sua infrastruttura di posta elettronica, nel dicembre 2023 il gruppo hacker ha iniziato ad abusare di politiche di Domain-based Message Authentication, Reporting and Conformance (DMARC) poco rigorose, per creare spoofing di vari individui e, nel febbraio 2024, ha iniziato a incorporare web beacon per la profilazione degli obiettivi.
- Obiettivo di TA427 è alimentare l’intelligence nordcoreana e informare le sue tattiche di negoziazione in politica estera. Questa attività mira a ottenere informazioni e influenza, che sono infinitamente più difficili da quantificare rispetto al guadagno monetario.
Sebbene le campagne descritte in questo blog non puntino a derubare fisicamente gli obiettivi colpiti, l’attività condotta dal gruppo TA427 mira a qualcosa di infinitamente più difficile da quantificare: informazioni e influenza. Per anni, questo attore minaccia ha impersonato esperti chiave della Repubblica Popolare di Corea nel mondo accademico, nel giornalismo e nella ricerca indipendente per colpire altri esperti e ottenere punti d’appoggio nelle rispettive organizzazioni per la raccolta di informazioni strategiche a lungo termine. Con un chiaro grado di successo, TA427 non mostra alcun segno di rallentamento o perdita di agilità nell’adattare le proprie tattiche e creare nuove infrastrutture e personaggi con rapidità.
