Investigadores en ciberseguridad han identificado solapamientos técnicos entre actividades atribuidas al Grupo Lazarus, un actor amenazante ampliamente vinculado al gobierno norcoreano, y los despliegues de la cepa de ransomware Medusa. Los resultados se basan en el análisis forense de muestras de malware e infraestructuras de apoyo observadas en incidentes recientes.
El ransomware Medusa, detectado por primera vez en 2021, se ha utilizado en ataques contra organizaciones de múltiples sectores. Los analistas que examinaron variantes más recientes encontraron similitudes en la estructura del código, los mecanismos de cifrado y la infraestructura de mando e infraestructura de control que se alinean con herramientas previamente asociadas a las operaciones de Lazarus. Los investigadores señalaron que la superposición incluye componentes reutilizados y patrones en cómo se comprometieron y gestionaron los sistemas tras el acceso inicial.
Las empresas de seguridad que siguen la actividad señalaron que Lazarus ha llevado a cabo históricamente una variedad de operaciones cibernéticas, incluyendo campañas de ransomware con motivación financiera e intrusiones dirigidas a instituciones financieras y plataformas de activos digitales. En los casos vinculados a Medusa, los investigadores observaron comportamientos consistentes con actividades anteriores de Lazarus, incluyendo exfiltración de datos escenificada antes del cifrado de archivos y demandas de rescate emitidas en criptomonedas.
Las víctimas de los incidentes de Medusa informaron que los atacantes cifraron sistemas en red y dejaron notas de rescate indicándoles que contactaran con los operadores para obtener instrucciones de pago. En algunos casos, se publicaron datos robados o se amenazó con ser divulgados a través de sitios de filtraciones. Los investigadores señalaron que la infraestructura que soporta ciertos ataques de Medusa mostraba similitudes de configuración con la infraestructura utilizada en campañas anteriores de Lazarus.
Los investigadores advirtieron que la superposición técnica no significa necesariamente que todas las operaciones de Medusa estén dirigidas centralmente por Lázaro. En cambio, la evidencia sugiere que actores vinculados o que comparten recursos con Lazarus podrían estar implicados en al menos algunos despliegues del ransomware.
Los hallazgos forman parte de la monitorización continua de amenazas de ransomware y de la actividad cibernética vinculada al Estado. Los analistas de seguridad dijeron que seguirán examinando muestras de malware e infraestructuras para aclarar la relación entre los operadores de Medusa y la actividad previamente identificada de Lazarus.