Después de la aglomeración multitudinaria de Halloween en Itaewon que mató al menos a 158 personas, el grupo de piratas informáticos patrocinado por el estado APT37 de Corea del Norte aprovechó una vulnerabilidad previamente desconocida de Internet Explorer para instalar malware en los dispositivos de los surcoreanos que intentaban averiguar sobre el tragedia, según el Grupo de Análisis de Amenazas de Google. El equipo se dio cuenta del reciente ataque el 31 de octubre después de que varios surcoreanos cargaran un documento malicioso de Microsoft Office en la herramienta VirusTotal de la empresa.
APT37 aprovechó el interés nacional en la tragedia de Itaewon al hacer referencia al evento en un documento de apariencia oficial. Una vez que alguien abriera el documento en su dispositivo, descargaría una plantilla remota de archivo de texto enriquecido que, a su vez, renderizaría HTML remoto utilizando Internet Explorer. Según Google, esta es una técnica que se ha utilizado ampliamente para distribuir exploits desde 2017, ya que permite a los piratas informáticos aprovechar las vulnerabilidades en Internet Explorer incluso si alguien no está usando IE como su navegador web predeterminado.
La vulnerabilidad de JavaScript que aprovechó APT37 permitió al grupo ejecutar código arbitrario. Google informó a Microsoft del día cero el mismo día en que se dio cuenta. El 8 de noviembre, Microsoft lanzó una actualización de software para abordar el exploit. “Seríamos negligentes si no reconociéramos la respuesta rápida y el parcheo de esta vulnerabilidad por parte del equipo de Microsoft”, dijo Google.
Si bien el equipo de TAG no tuvo la oportunidad de analizar el malware final que los piratas informáticos APT37 intentaron implementar contra sus objetivos, señala que el grupo es conocido por usar una amplia variedad de software malicioso, incluidos ROKRAT, BLUELIGHT y DOLPHIN. “TAG también identificó otros documentos que probablemente explotan la misma vulnerabilidad y con objetivos similares, que pueden ser parte de la misma campaña”, agregó el equipo.
Esta no es la primera vez que el Grupo de Análisis de Amenazas de Google frustra un ataque de piratas informáticos de Corea del Norte. A principios de 2021, el equipo detalló una campaña dirigida a investigadores de seguridad. Más recientemente, el equipo trabajó con el equipo de Chrome para abordar una vulnerabilidad que fue utilizada por dos cuadros de piratas informáticos de Corea del Norte para ejecutar código remoto.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.