Entre los mejores hackers del mundo están los norcoreanos. Apoyados por el gobierno de su país, utilizan Internet como otro campo de batalla para infiltrarse, espiar y realizar otros tipos de actividades delictivas. Son un amenaza para muchos gobiernos, organizaciones y empresas de todo el mundo, por lo que cada vez se lucha más contra ellos. Hoy podemos confirmar que Microsoft se ha anotado una importante victoria judicial para tumbar 50 dominios operados por hackers norcoreanos para atacarnos. Estos dominios habrían sido utilizados en el pasado por el grupo Thallium, también conocido como APT 37.

APT 37, el grupo de ciberespionaje norcoreano, lleva activo de 2012 y lo conocemos por nombres como el mismo Thallium o también Group 123, Group123, Starcruft, Reaper, Reaper Group, Red Eyes, Ricochet Chollima, StarCruft, Operation Daybreak, Operation Erebus o Venus 121. Aunque se ha centrado especialmente en su vecino de Corea del Sur, sus operaciones han llegado también a Japón, Vietnam u Oriente Medio, además de a forma puntual a otras partes del mundo. Además de gobierno, también espían entidades químicas, electrónicas, manufactureras, aeroespaciales, automotrices y sanitarias.

Cierre de dominios operados por hackers norcoreanos

Microsoft ha confirmado el cierre de 50 dominios usados previamente por hackers norcoreanos, concretamente por Thallium, grupo apoyado por el gobierno del país. El gigante norteamericano ha explicado que estos dominios eran utilizados para lanzar ciberataques contra gobiernos, organizaciones gubernamentales y empresas privadas.

Todo esto ha sido fruto del seguimiento de las operaciones del grupo hacker por parte de los equipos Digital Crimes Unit (DCU) y Microsoft Threat Intelligence Center (MSTIC). Todo concluía el 18 de diciembre, fecha en la que se impuso una demanda en la Corte de Virginia que permitió al gigante de la tecnología quedarse con los 50 dominios del grupo Thallium, también conocido como APT 37.

Entre las actividades realizadas con estos dominios estaba el envío fraudulento de correos phishing o el alojamiento de páginas phishing. El objetivo, en estos casos, eran robar las credenciales de acceso de las víctimas para tener acceso a redes privadas. A partir de ahí, comenzaba a escalar sus ataques con objetivos más ambiciosos.

Microsoft ha confirmado que las víctimas se encuentran principalmente en Estados Unidos, Japón y Corea del Sur. Estas víctimas eran infectadas con los troyanos de acceso remoto conocidos como KimJongRAT y BabyShark. Una vez instalados en los ordenadores, extraían información, pero también se quedaban funcionando en segundo plano esperando nuevas órdenes.

No es la primera vez que Microsoft lidera una campaña de este tipo. En marzo de este año consiguió incautar 99 dominios operados por Phosphorus (APT35), otro grupo de ciberespionaje, aunque en este caso radicado en Iran.