Un gruppo di hacker con legami con lo Stato nordcoreano ha sfruttato reti pubblicitarie online gestite dalla società tecnologica statunitense Google e dal portale web sudcoreano Naver per fornire malware a utenti ignari, secondo un rapporto sulla cybersecurity. La campagna, tracciata dai ricercatori come “Operazione Poseidone”, utilizzava URL pubblicitari legittimi per costruire link dannosi che bypassano i filtri di sicurezza e nascondono la distribuzione di malware.
L’attività è stata analizzata da Genians Security Center , una società di cybersecurity con sede in Corea del Sud. Il rapporto attribuisce l’operazione a Konni, un gruppo di minaccia persistente avanzato associato alle operazioni informatiche sostenute da Pyongyang. I ricercatori hanno scoperto che gli attaccanti hanno integrato meccanismi di distribuzione di malware all’interno dei sistemi pubblicitari di click-tracking e reindirizzamento, che sono una parte normale dell’infrastruttura pubblicitaria online.
Invece di ospitare malware su domini chiaramente dannosi, gli attaccanti hanno utilizzato catene di reindirizzamento che iniziavano con link pubblicitari apparentemente legittimi su Google e Naver. Questi collegamenti instradavano le vittime attraverso una serie di reindirizzamenti prima di arrivare su server controllati dagli attaccanti che avviavano l’esecuzione del malware. Questo metodo permetteva ai link di eludere i controlli di sicurezza convenzionali che ispezionavano il traffico web alla ricerca di minacce.
Il payload malware identificato nella campagna era EndRAT, uno strumento di accesso remoto fornito in forma mascherata. Gli attaccanti hanno utilizzato uno script AutoIt mascherato da file PDF innocuo per eseguire il malware sui sistemi vittime. I ricercatori hanno osservato che l’operazione dimostrava un certo livello di sofisticazione tecnica, inclusi identificatori di sviluppo che suggeriscono una manutenzione e un’evoluzione continua del toolkit utilizzato dagli hacker.
Parte della strategia degli aggressori prevedeva tecniche di ingegneria sociale per aumentare la percezione di legittimità. Secondo il rapporto, le email associate all’operazione contenevano lunghi blocchi di testo inglese irrilevante, progettati per confondere i sistemi di rilevamento automatico e ridurre la probabilità che i filtri segnassero i messaggi come dannosi.
L’analisi di Genians ha collegato l’attività osservata alle campagne precedenti di Konni basandosi su sovrapposizioni di infrastrutture e componenti malware. Il rapporto ha affermato che il gruppo ha una storia di attacchi di ingegneria sociale, inclusa l’impersonificazione di organizzazioni come gruppi per i diritti umani e istituzioni finanziarie in Corea del Sud.
I ricercatori di sicurezza hanno documentato una tendenza più ampia di attori minacciosi che utilizzano piattaforme affidabili e flussi di lavoro familiari per diffondere malware ed eludere il rilevamento. In alcuni recenti episodi legati a gruppi legati alla Corea del Nord, attori malintenzionati hanno anche utilizzato strumenti come i codici QR in campagne di spear-phishing per aggirare i controlli di sicurezza aziendali indirizzando le vittime verso contenuti dannosi sui dispositivi mobili.
L’operazione mette in evidenza le sfide nel proteggere complessi ecosistemi pubblicitari online contro gli abusi. Le piattaforme pubblicitarie spesso si affidano a meccanismi di reindirizzamento e tracciamento che possono essere riutilizzati da attori malintenzionati per nascondere attività dannose. Il rapporto sottolinea la necessità di potenziare capacità di monitoraggio e rilevamento delle minacce in grado di identificare e bloccare il traffico malevolo all’interno di infrastrutture pubblicitarie di aspetto legittimo.
Il contesto più ampio delle operazioni informatiche legate allo stato attribuite ai gruppi nordcoreani include una serie di tattiche come il spear-phishing, la distribuzione di spyware e lo sfruttamento dei servizi di gestione dei dispositivi, illustrando un ambiente di minaccia in evoluzione che prende di mira utenti web e organizzazioni in tutto il mondo.