Los piratas informáticos respaldados por el Estado norcoreano están distribuyendo una versión maliciosa de una aplicación legítima desarrollada por CyberLink, un fabricante de software taiwanés, para apuntar a clientes intermedios.
El equipo de Inteligencia de Amenazas de Microsoft dijo el miércoles que piratas informáticos norcoreanos habían comprometido CyberLink para distribuir un archivo de instalación modificado de la compañía como parte de un ataque de amplio alcance a la cadena de suministro.
CyberLink es una empresa de software con sede en Taiwán que desarrolla software multimedia, como PowerDVD, y tecnología de reconocimiento facial AI. Según el sitio web de la empresa, CyberLink posee más de 200 tecnologías patentadas y ha distribuido más de 400 millones de aplicaciones en todo el mundo.
Microsoft dijo que observó actividad sospechosa asociada con el instalador CyberLink modificado, rastreado por la compañía como “LambLoad”, ya el 20 de octubre de 2023. Hasta ahora ha detectado el instalador troyanizado en más de 100 dispositivos en varios países, incluidos Japón, Taiwán, Canadá y Estados Unidos.
El archivo está alojado en una infraestructura de actualización legítima propiedad de CyberLink, según Microsoft, y los atacantes utilizaron un certificado de firma de código legítimo emitido a CyberLink para firmar el ejecutable malicioso, según Microsoft. «Este certificado se ha agregado a la lista de certificados no permitidos de Microsoft para proteger a los clientes de futuros usos maliciosos del certificado», dijo el equipo de Threat Intelligence de Microsoft.
La compañía señaló que una carga útil de la segunda fase observada en esta campaña interactúa con la infraestructura previamente comprometida por el mismo grupo de actores de amenazas.
Microsoft ha atribuido este ataque con “alta confianza” a un grupo al que rastrea como Diamond Sleet, un actor-estado-nación de Corea del Norte vinculado al notorio grupo de hackers Lazarus. Se ha observado que este grupo apunta a organizaciones de tecnología de la información, defensa y medios de comunicación. Y se centra predominantemente en el espionaje, las ganancias financieras y la destrucción de redes corporativas, según Microsoft.
Microsoft dijo que aún no ha detectado actividad práctica en el teclado, pero señaló que los atacantes de Diamond Sleet comúnmente roban datos de sistemas comprometidos, se infiltran en entornos de creación de software, avanzan hacia abajo para explotar a más víctimas e intentan obtener acceso persistente a los entornos de las víctimas.
Microsoft dijo que notificó a CyberLink sobre el compromiso de la cadena de suministro, pero no dijo si había recibido una respuesta o si CyberLink había tomado alguna medida a la luz de los hallazgos de la compañía. La compañía también está notificando a los clientes de Microsoft Defender for Endpoint que se vieron afectados por el ataque.
CyberLink no respondió a las preguntas de TechCrunch.