Por Mid 
Ciberdelincuentes norcoreanos implementan AkdoorTea para atacar a desarrolladores de criptomonedas
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- Se ha identificado un nuevo backdoor llamado AkdoorTea, desarrollado por ciberdelincuentes norcoreanos.
- El malware se distribuye a través de ofertas de empleo fraudulentas en el sector de criptomonedas.
- Utiliza técnicas avanzadas de ofuscación y establece conexiones cifradas para evitar ser detectado.
- Es crucial verificar la legitimidad de las ofertas de trabajo y mantener los sistemas actualizados para prevenir infecciones.
- La educación sobre ingeniería social es vital para proteger a los desarrolladores y empresas del sector.
Índice
- Ciberdelincuentes norcoreanos y su nueva campaña
- ¿Qué es AkdoorTea?
- Métodos de distribución
- Ingeniería social y «Contagious Interview»
- Medidas de mitigación
Ciberdelincuentes norcoreanos y su nueva campaña
El ecosistema de criptomonedas y Web3 se enfrenta a una nueva amenaza proveniente de un grupo de ciberdelincuentes norcoreanos, que ha lanzado una campaña bautizada como «DeceptiveDevelopment». Esta iniciativa se centra en ataques dirigidos a desarrolladores de software y emplea herramientas personalizadas, destacándose entre ellas un backdoor desconocido hasta la fecha denominado AkdoorTea. Según la firma de ciberseguridad ESET, este grupo tiene vínculos con las operaciones del régimen de Pyongyang.
¿Qué es AkdoorTea?
AkdoorTea es un backdoor multiplataforma, ideado en Python y Go, que opera en sistemas Windows, Linux y macOS. Su funcionamiento se basa en la utilización de técnicas avanzadas; establece conexiones cifradas para comunicarse con servidores de comando y control (C2), además de contar con la capacidad para ejecutar scripts de forma remota, manipular archivos y recolectar credenciales y datos sensibles de aplicaciones blockchain. Para asegurar su persistencia, implementa mecanismos de autoarranque, modifica configuraciones del sistema y oculta sus procesos mediante técnicas de ofuscación del código.
Métodos de distribución
La distribución de este malware se realiza a través de ofertas de empleo fraudulentas dentro del sector de criptomonedas. Los atacantes, haciéndose pasar por reclutadores, persuaden a las víctimas para que ejecuten scripts maliciosos bajo la premisa de llevar a cabo pruebas técnicas. Al ser ejecutados, estos scripts descargan y activan el backdoor AkdoorTea, que establece una puerta trasera y crea un túnel seguro cifrado para enviar información de forma encubierta al servidor C2.
Ingeniería social y «Contagious Interview»
La táctica principal en esta campaña se basa en una ingeniería social avanzada. Los delincuentes crean perfiles falsos en plataformas profesionales con el propósito de contactar a desarrolladores, ofreciendo entrevistas de trabajo. Durante estas sesiones, se les pide a las víctimas que realicen tareas que parecen legítimas, pero que en realidad facilitan la ejecución del malware y el mapeo de la infraestructura local de los usuarios. Este enfoque ha sido denominado «Contagious Interview» y ha sido empleado previamente en otras campañas maliciosas como BeaverTail e InvisibleFerret.
Medidas de mitigación
Para mitigar el riesgo de tales amenazas, es esencial verificar la legitimidad de las ofertas de empleo, así como revisar los permisos de ejecución antes de activar scripts o programas de origen desconocido. Asimismo, se recomienda mantener actualizado el software antivirus y utilizar herramientas de análisis de malware que puedan detectar comportamientos anómalos. Es igualmente crucial educar al personal sobre las técnicas de ingeniería social y cómo prevenirlas, además de supervisar los registros de red en busca de conexiones sospechosas con servidores externos.
Referencias
- ESET – Firma de ciberseguridad
- CISA – Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU.
- Australian Cyber Security Centre