L’Acronis Threat Research Unit (TRU) ha condotto, insieme a Hunt.io, una nuova ricerca che ha permesso di individuare e correlare infrastrutture attive riconducibili a gruppi di cyber-attaccanti legati alla Corea del Nord (DPRK), tra cui Lazarus Group e Kimsuky, facendo emergere campagne globali ancora operative e finora non collegate pubblicamente tra loro.
Hunt.io è una piattaforma specializzata in threat intelligence e analisi infrastrutturale, focalizzata sull’identificazione e sul tracciamento delle attività degli attori malevoli attraverso l’osservazione di asset esposti, server, certificati digitali e pattern di provisioning. Grazie alle sue capacità di correlazione e pivoting su larga scala, Hunt.io supporta i team di sicurezza nell’individuazione di infrastrutture ostili anche nelle fasi preliminari delle campagne, prima che vengano osservati impatti diretti sugli endpoint. La collaborazione con l’Acronis Threat Research Unit si inserisce nell’ambito della TRU Alliance, con l’obiettivo di condividere analisi approfondite e indicazioni operative a beneficio della comunità di difesa.
L’analisi evidenzia come gli attori DPRK continuino a fare affidamento su schemi infrastrutturali ricorrenti, indipendentemente dall’evoluzione dei malware utilizzati. Server di staging con directory esposte, toolkit per il furto di credenziali, tunnel Fast Reverse Proxy e certificati digitali riutilizzati rappresentano elementi chiave di un modello operativo che rimane stabile nel tempo e che consente di collegare attività apparentemente distinte.
Nel corso dell’indagine è stata individuata anche una nuova variante Linux della backdoor Badcall, già associata in precedenza a operazioni attribuite al gruppo Lazarus. Le modifiche riscontrate indicano un’evoluzione mirata a migliorare l’efficienza operativa e il monitoraggio interno delle attività malevole, a conferma di un continuo lavoro di affinamento degli strumenti a disposizione degli attaccanti.
La ricerca di Acronis ha inoltre portato alla luce infrastrutture dedicate al furto e all’esfiltrazione di credenziali, spesso ospitate su server temporanei e caratterizzate da directory pubblicamente accessibili contenenti ampi set di strumenti offensivi. Questi ambienti, utilizzati come nodi di appoggio durante le intrusioni, risultano riconducibili a pattern già osservati in precedenti campagne DPRK.
Un ulteriore elemento emerso riguarda l’uso sistematico di componenti di tunneling FRP, distribuiti in modo uniforme su più host e provider. Questa tecnica consente di mantenere canali di comando e controllo affidabili anche in presenza di limitazioni di rete o tentativi di blocco, e la ripetizione delle stesse configurazioni rappresenta un segnale rilevante per l’identificazione precoce di nuove infrastrutture malevole.
L’analisi mostra come, al di là delle singole campagne, esista un ecosistema operativo condiviso all’interno dell’ecosistema DPRK, caratterizzato da abitudini tecniche consolidate e da una gestione coordinata delle risorse infrastrutturali. Questo approccio offre ai team di sicurezza indicatori affidabili per intercettare le attività ostili già nelle fasi preparatorie, prima che si traducano in attacchi concreti.
L’attività di analisi è stata affiancata anche da riscontri a livello di detection, che hanno permesso di osservare comportamenti coerenti con quelli descritti nell’indagine dal punto di vista degli endpoint. Le funzionalità di protezione, rilevamento e risposta integrate nelle soluzioni Acronis hanno consentito di intercettare l’uso di backdoor, strumenti di furto di credenziali e infrastrutture di comando e controllo riconducibili alle campagne analizzate, confermando l’efficacia di un approccio basato sulla correlazione tra telemetria endpoint e osservazione dell’infrastruttura. Questo consente ai team di sicurezza di ottenere una visibilità più ampia sulle attività ostili e di intervenire con maggiore tempestività anche nelle fasi iniziali degli attacchi.
La ricerca conferma come il monitoraggio continuo delle infrastrutture, dei certificati digitali e dei pattern di provisioning dei server rappresenti oggi uno degli strumenti più efficaci per contrastare operazioni APT persistenti e strutturate, consentendo un approccio più proattivo alla difesa contro minacce su scala globale.
