AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El Tesoro de EE. UU. sanciona a Song Kum Hyok por operaciones cibernéticas del grupo norcoreano Andariel**

admin

### 1. Introducción

El Departamento del Tesoro de los Estados Unidos ha impuesto sanciones a Song Kum Hyok, un conocido actor cibernético vinculado al grupo de amenazas persistentes avanzadas (APT) norcoreano Andariel. Las medidas responden a su implicación en operaciones de hacking y en el desarrollo de esquemas de contratación de trabajadores IT con el objetivo de captar fondos ilícitos para el régimen de Pyongyang. Este movimiento refuerza la presión internacional sobre las estructuras cibercriminales norcoreanas y supone un serio aviso a empresas y profesionales del sector sobre los riesgos asociados a la colaboración inadvertida con agentes estatales hostiles.

### 2. Contexto del Incidente o Vulnerabilidad

Andariel, identificado dentro de la matriz MITRE ATT&CK como un subgrupo de Lazarus Group (UNC1878, APT38), lleva años ejecutando campañas de intrusión orientadas al robo de información, ciberespionaje y ataques a infraestructuras críticas, principalmente en sectores como defensa, finanzas y energía. Desde al menos 2015, Andariel ha diversificado su actividad hacia la obtención de divisas mediante intrusiones en sistemas financieros, criptoactivos y esquemas de contratación remota de profesionales IT, burlando así las sanciones internacionales.

Según informes de la OFAC (Office of Foreign Assets Control), Song Kum Hyok ha actuado como facilitador y coordinador de estas operaciones, empleando identidades falsas y plataformas de freelancers para insertar personal afín al régimen en empresas occidentales, obteniendo acceso privilegiado a sistemas y recursos corporativos.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Las campañas asociadas a Andariel y a Song Kum Hyok se caracterizan por el uso de técnicas de spear-phishing, explotación de vulnerabilidades zero-day y despliegue de malware personalizado. Entre los CVE explotados más recientemente destacan:

– **CVE-2021-44228 (Log4Shell):** Utilizada para ejecución remota de código en servicios expuestos.
– **CVE-2022-30190 (Follina):** Vector habitual en campañas de malware inicial.
– **CVE-2021-34527 (PrintNightmare):** Escalada de privilegios en entornos Windows.

Las TTP observadas, según MITRE ATT&CK, incluyen:

– **Initial Access (T1192, T1193):** Uso de spear-phishing y Remote Service Exploitation.
– **Persistence (T1078):** Compromiso de cuentas válidas y creación de backdoors.
– **Defense Evasion (T1027, T1036):** Ofuscación de cargas útiles y uso de nombres legítimos.
– **Command and Control (T1071, T1095):** Comunicación cifrada y exfiltración vía canales legítimos.

En cuanto a IoC (Indicators of Compromise), se han identificado dominios, direcciones IP y hashes de malware vinculados a infraestructura controlada por actores norcoreanos, así como patrones de comportamiento en plataformas de empleo remoto (Upwork, Freelancer.com, etc.), donde los perfiles fraudulentos presentan características homogéneas: ubicaciones ficticias, experiencia inflada y uso de herramientas automatizadas para la obtención de credenciales.

### 4. Impacto y Riesgos

La actividad coordinada por Song Kum Hyok ha permitido al régimen norcoreano captar millones de dólares en divisas extranjeras a través de contratos IT fraudulentos y ciberataques. Solo en 2023, el FBI estima que los grupos Lazarus y Andariel robaron criptoactivos por un valor superior a 600 millones de dólares. Las organizaciones afectadas enfrentan riesgos críticos:

– **Exposición de datos sensibles** (IP, información de clientes, acceso a infraestructuras críticas).
– **Pérdidas financieras** directas por transferencias fraudulentas y rescates.
– **Incumplimientos normativos** (GDPR, NIS2) ante brechas de seguridad.
– **Daños reputacionales** y pérdida de confianza de clientes y partners.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar los riesgos asociados a este tipo de amenazas, se recomienda:

– **Reforzar procesos de onboarding** en contrataciones remotas, exigiendo verificaciones de identidad y análisis de antecedentes.
– **Monitorización continua de actividad sospechosa** en redes y endpoints, empleando SIEMs y EDRs con inteligencia de amenazas actualizada.
– **Actualización inmediata** de sistemas afectados por CVEs críticos, priorizando parches de vulnerabilidades explotadas por APTs.
– **Segregación de privilegios** y aplicación de MFA (autenticación multifactor) para accesos sensibles.
– **Campañas internas de concienciación** sobre phishing y amenazas internas.

### 6. Opinión de Expertos

Según Jake Williams, exanalista de la NSA y actual CTO de BreachQuest, “la inclusión de perfiles norcoreanos en plataformas de trabajo remoto representa uno de los vectores de acceso más subestimados por las empresas occidentales. La sofisticación en la suplantación de identidad y el uso de técnicas de evasión hacen imprescindible una revisión profunda de los procesos de selección y control de acceso”.

Por su parte, el equipo de Threat Intelligence de Mandiant destaca el uso creciente de frameworks como **Cobalt Strike** y **Metasploit** en las campañas de Andariel, lo que aumenta la dificultad de detección y atribución temprana.

### 7. Implicaciones para Empresas y Usuarios

El caso de Song Kum Hyok y Andariel pone de manifiesto la necesidad de revisar los modelos de colaboración remota y la cadena de suministro digital. Las empresas que subestimen los riesgos asociados a la externalización IT pueden verse involucradas involuntariamente en operaciones de financiación ilícita, con posibles sanciones económicas y legales. Además, la entrada en vigor de normativas como **NIS2** y la aplicación estricta del **GDPR** imponen obligaciones adicionales de diligencia debida y notificación de incidentes, con multas que pueden superar los 10 millones de euros o el 2% del volumen de negocio anual.

### 8. Conclusiones

La sanción impuesta por el Tesoro estadounidense a Song Kum Hyok representa un avance en la lucha internacional contra la ciberdelincuencia estatal, pero también evidencia la sofisticación y persistencia de los actores norcoreanos. Para los profesionales de ciberseguridad, la lección es clara: la protección frente a amenazas avanzadas requiere no solo tecnología, sino también procesos robustos y una cultura de seguridad transversal, especialmente en un contexto de trabajo remoto y cadenas de suministro globalizadas.

(Fuente: www.bleepingcomputer.com)