I Ricercatori di Proofpoint hanno analizzato le attività del gruppo cybercriminale TA427 allineato alla Repubblica Popolare Democratica di Corea del Nord che lavora per ottenere informazioni sulla politica estera degli Stati Uniti e della Repubblica di Corea del Sud
TA427 è uno degli attori di minacce maggiormente attivi allineati a uno stato attualmente monitorati da Proofpoint. Negli ultimi mesi, i ricercatori hanno osservato l’adozione di nuove tattiche aggiuntive, tra cui lo spoofing di individui e l’incorporazione di web beacon.
TA427: risultati principali della ricerca
- Dal 2023, TA427 ha sollecitato direttamente esperti di politica estera per avere le loro opinioni sul disarmo nucleare, sulle politiche di Stati Uniti e Regno Unito e su argomenti relativi alle sanzioni, attraverso email benevole mirate ad avviare una conversazione. Negli ultimi mesi, i ricercatori di Proofpoint hanno osservato un flusso costante, e a volte crescente, di queste attività.
- Oltre a utilizzare contenuti di richiamo creati appositamente, TA427 sfrutta molto i personaggi legati ai think tank e alle organizzazioni non governative per legittimare le sue email e aumentare le probabilità che gli obiettivi si sentano coinvolti.
- Se i ricercatori Proofpoint hanno sempre osservato TA427 affidarsi a tattiche di social engineering e ruotare regolarmente la sua infrastruttura di posta elettronica, nel dicembre 2023 il gruppo hacker ha iniziato ad abusare di politiche di Domain-based Message Authentication, Reporting and Conformance (DMARC) poco rigorose, per creare spoofing di vari individui e, nel febbraio 2024, ha iniziato a incorporare web beacon per la profilazione degli obiettivi.
- Obiettivo di TA427 è alimentare l’intelligence nordcoreana e informare le sue tattiche di negoziazione in politica estera. Questa attività mira a ottenere informazioni e influenza, che sono infinitamente più difficili da quantificare rispetto al guadagno monetario.
Nonostante le campagne descritte non puntino a derubare fisicamente gli obiettivi colpiti, l’attività condotta dal gruppo TA427 mira a qualcosa di infinitamente più difficile da quantificare: informazioni e influenza. Per anni, questo attore minaccia ha impersonato esperti chiave della Repubblica Popolare di Corea nel mondo accademico, nel giornalismo e nella ricerca indipendente per colpire altri esperti e ottenere punti d’appoggio nelle rispettive organizzazioni per la raccolta di informazioni strategiche a lungo termine. Con un chiaro grado di successo, TA427 non mostra alcun segno di rallentamento o perdita di agilità nell’adattare le proprie tattiche e creare nuove infrastrutture e personaggi con rapidità.