Esta nueva familia de malware ha sido utilizada por un grupo especializado en ataques dirigidos contra Corea del Sur, Estados Unidos y Japón.

El servicio de Ciberinteligencia de Entelgy Innotec Security ha presentado un informe sobre una nueva familia de malware denominada BabyShark, descubierta en febrero de 2019 por la división Unit42 de Palo Alto Networks a raíz del envío de correos fraudulentos en noviembre de 2018.

Los expertos de la división de ciberseguridad de Entelgy concluyen que esta campaña de ciberespionaje ha sido realizada por APT37, un grupo de ciberactores vinculado al Gobierno de Corea del Norte y especializado en ataques dirigidos contra diferentes organismos de Corea del Sur como el Gobierno, Ejército, industria de defensa o el sector mediático. Estos ciberdelincuentes también son conocidos por bloquear servicios de sitios web gubernamentales de países en conflicto con el régimen norcoreano, como Estados Unidos o Japón, así como por atacar la infraestructura informática de disidentes políticos o por el robo de criptomonedas.

El informe analiza las distintas etapas de esta Amenaza Persistente Avanzada (APT 1 por sus siglas en inglés) como son los métodos de infección y de propagación, las técnicas empleadas como el spear-phishing 2 y el almacenamiento y exfiltración de la información obtenida. El documento incluye además un análisis geopolítico y geoestratégico de los principales actores y un resumen de las principales campañas realizadas por el grupo APT37.

De hecho, tal y como han podido comprobar los expertos de Entelgy Innotec Security, existe una vinculación con otras campañas llevadas a cabo desde 2014. Todas ellas con el objetivo de robar información a otros países, principalmente Corea del Sur, a organizaciones internacionales y a la disidencia política en Corea del Norte.