APT43 è un operatore informatico molto attivo che sostiene gli interessi del regime nordcoreano. Il gruppo combina competenze tecniche moderatamente sofisticate con tattiche aggressive di social engineering, in particolare contro organizzazioni governative, accademici e think tank della Corea del Sud e Stati Uniti, che si concentrano su questioni geopolitiche della penisola coreana. Oltre alle campagne di spionaggio, Mandiant, un’azienda americana di sicurezza informatica di cu è proprietaria Google, ritiene che l’APT43 si finanzi attraverso operazioni di criminalità informatica per sostenere la sua missione primaria di raccolta di informazioni strategiche. Il gruppo nordcoreano crea numerose identità fraudolente e spoofed a scopo di social engineering, oltre a fornire copertura per l’acquisto di strumenti e infrastrutture operative. Il gruppo APT43 ha collaborato con altri operatori spionistici nordcoreani in diverse operazioni, sottolineando il ruolo importante che svolge nel sistema informatico del regime.
Dettagli delle minacce
Le campagne attribuite all’APT43 comprendono la raccolta di informazioni strategiche allineate agli interessi geopolitici di Pyongyang, la raccolta di credenziali e l’ingegneria sociale per sostenere le attività di spionaggio e il crimine informatico a sfondo finanziario per finanziare le operazioni di spionaggio. Tracciate dal 2018, le attività di rilevamento di APT43 si allineano alla missione del General Reconnaissance Bureau (RGB), la principale agenzia di intelligence estera della Corea del Nord. L’attenzione del gruppo alle questioni di politica estera e di sicurezza nucleare sostiene le ambizioni strategiche e nucleari della Corea del Nord. Tuttavia, l’attenzione del gruppo per i settori verticali legati alla salute per la maggior parte del 2021, presumibilmente per scopi di risposta alle pandemie, dimostra che il gruppo è sensibile alle mutevoli priorità di Pyongyang.
Le attività attribuite all’APT43 sono spesso indicate come “Kimsuky” o “Thallium” e comprendono la raccolta di informazioni identificative e attività di spionaggio, probabilmente finalizzate a informare la leadership nordcoreana sugli sviluppi geopolitici in corso. Le operazioni più frequentemente osservate sono campagne di spear-phishing che si basano su domini e indirizzi e-mail spoofed come parte delle loro tattiche di ingegneria sociale. I domini che si spacciano per siti legittimi sono utilizzati come parte delle operazioni di raccolta delle credenziali. Questo gruppo mantiene un alto tasso di attività, è prolifico nelle sue campagne di phishing e di raccolta di credenziali e ha dimostrato di essere coordinato con altri elementi dell’ecosistema informatico nordcoreano.
Obiettivi
I bersagli sono la Corea del Sud, il Giappone, l’Europa e gli Stati Uniti, in particolare nei seguenti settori:
- Governo
- Aziende di servizi
- Industria manifatturiera
- Istruzione, ricerca e think tank che si occupano di politica geopolitica e nucleare.
Sebbene il target sia ampio, l’obiettivo finale delle campagne è molto probabilmente quello di concentrarsi sullo sviluppo del programma di armamento della Corea del Nord, compresa la raccolta di informazioni sui negoziati internazionali, sulla politica delle sanzioni, sulle relazioni estere e sulla politica interna di altri Paesi, in quanto possono influenzare le ambizioni nucleari della Corea del Nord.
Le attività nel settore delle criptovalute
Nel comunicato stampa di Mandiant si legge che “”L’APT43 ruba e ricicla una quantità di criptovaluta sufficiente ad acquistare infrastrutture operative in linea con l’ideologia di autosufficienza dello Stato della Corea del Nord, riducendo così la pressione fiscale sul governo centrale”. I ricercatori hanno rilevato il “probabile utilizzo da parte del gruppo nordcoreano di servizi di hash rental e cloud mining per riciclare criptovalute rubate in cripto pulite”. Queste due attività, molto simili, prevedono l’affitto di risorse per il mining di criptovalute. Secondo Mandiant, consentono di minare criptovalute “in un wallet selezionato dall’acquirente senza alcuna associazione basata su blockchain con i pagamenti originali dell’acquirente”. Mandiant ha identificato i metodi di pagamento, gli alias e gli indirizzi utilizzati per gli acquisti da parte del gruppo. PayPal, carte American Express e “Bitcoin probabilmente ricavati da operazioni precedenti” erano i metodi di pagamento utilizzati dall’organizzazione. Inoltre, APT43 era coinvolto nell’uso di malware Android per raccogliere le credenziali di persone in Cina alla ricerca di prestiti in criptovaluta. Il gruppo gestisce anche diversi siti di spoofing per la raccolta mirata di credenziali. La Corea del Nord è stata coinvolta in numerosi furti di criptovalute, tra cui il recente exploit di Euler per oltre 195 milioni di dollari. Secondo le Nazioni Unite, nel 2022 gli hacker nordcoreani hanno realizzato un bottino record compreso tra 630 milioni e oltre 1 miliardo di dollari. Secondo Chainalysis, la cifra è di almeno 1,7 miliardi di dollari.
