El grupo de ciberdelincuencia TA406, patrocinado por Corea del Norte, ha sido observado dirigiéndose a entidades gubernamentales en Ucrania para recolectar credenciales y distribuir malware mediante campañas de phishing. Expertos en amenazas de Proofpoint han señalado que el interés del grupo por Ucrania se debe a que históricamente se ha centrado en entidades rusas con fines de recopilación de información estratégica. El contenido de estos mensajes tenía que ver en gran medida en los acontecimientos recientes de la política nacional ucraniana, según la misma investigación de esta empresa de ciberseguridad.

Estos ciberdelincuentes se aprovechan de remitentes procedentes de correos electrónicos gratuitos para hacerse pasar por miembros de think tanks para convencer a sus víctimas. El grupo TA406 ha mostrado preferencia por archivos HTML y CHM para ejecutar PowerShell incrustado en sus campañas de implementación de malware. En uno de los correos electrónicos analizados había un enlace a un servicio de alojamiento de archivos llamado MEGA, que descargaba un archivo RAR protegido por contraseña. Al ejecutarlo, se iniciaba una cadena de infección hasta realizar un amplio reconocimiento en el host de destino. Como peculiaridad, el ciberdelincuente envió en este caso varios correos electrónicos de phishing en días consecutivos en los que el objetivo no hizo clic en el enlace, preguntándole si había recibido los correos electrónicos y si descargaría los archivos.

Antes de las campañas de distribución de malware de TA406, Proofpoint también observó que estos mismos ciberdelincuentes intentaban recopilar credenciales enviando mensajes falsos de alerta de seguridad de Microsoft a entidades gubernamentales ucranianas desde cuentas de Proton Mail. Según Proofpoint, estos mensajes afirmaban que la cuenta del objetivo había experimentado un inicio de sesión inusual desde varias direcciones IP y solicitaban al objetivo que verificara esta acción a través de un enlace a un dominio comprometido, que ya había sido utilizado para recolectar credenciales, alineándose con la actividad histórica de TA406.

«Con estas acciones maliciosas, TA406 podría estar evaluando las perspectivas a medio plazo del conflicto por la invasión rusa de Ucrania. Corea del Norte se comprometió a enviar tropas para ayudar a Rusia en otoño de 2024, por lo que es muy probable que esté recopilando inteligencia para determinar el riesgo actual para las fuerzas norcoreanas que ya se encuentren en dichas operaciones, así como la probabilidad de que Rusia solicite más tropas o armamento» , analiza el equipo de investigadores de Proofpoint. “A diferencia de los grupos de ciberdelincuencia rusos, a los que probablemente se les ha encomendado la recopilación de información táctica sobre el campo de batalla y la selección de objetivos de las fuerzas ucranianas, TA406 se ha centrado en la recopilación de inteligencia estratégica y política” .