Um grupo de hackers com ligações ao Estado norte-coreano explorou redes de publicidade online operadas pela empresa de tecnologia americana Google e o portal web sul-coreano Naver para entregar malware a usuários desavisados, segundo um relatório de cibersegurança. A campanha, rastreada por pesquisadores como “Operação Poseidon”, usou URLs legítimas de publicidade para construir links maliciosos que contornam filtros de segurança e ocultam a distribuição de malware.
A atividade foi analisada por Genians Security Center , uma empresa de cibersegurança sediada na Coreia do Sul. O relatório atribui a operação a Konni, um grupo avançado de ameaça persistente associado a operações cibernéticas apoiadas por Pyongyang. Os pesquisadores descobriram que atacantes incorporaram mecanismos de entrega de malware em sistemas de rastreamento de cliques e redirecionamento da publicidade, que são parte normal da infraestrutura de publicidade online.
Em vez de hospedar malware em domínios claramente maliciosos, os atacantes usaram cadeias de redirecionamento que começaram com links de publicidade aparentemente legítimos no Google e no Naver. Esses links encaminhavam as vítimas por uma série de redirecionamentos antes de cair em servidores controlados pelo atacante que iniciavam a execução de malware. Esse método permitiu que os links evitassem os controles convencionais de segurança que inspecionam o tráfego web em busca de ameaças.
A carga útil de malware identificada na campanha foi o EndRAT, uma ferramenta de acesso remoto entregue em forma disfarçada. Os atacantes usaram um script AutoIt disfarçado de arquivo PDF inofensivo para executar o malware nos sistemas vítimas. Os pesquisadores observaram que a operação demonstrou um nível de sofisticação técnica, incluindo identificadores de desenvolvimento que sugerem manutenção contínua e evolução do kit de ferramentas usado pelos hackers.
Parte da estratégia dos atacantes envolvia técnicas de engenharia social para aumentar a percepção de legitimidade. De acordo com o relatório, os e-mails associados à operação continham blocos longos de texto irrelevante em inglês, projetados para confundir sistemas automatizados de detecção e reduzir a probabilidade de filtros sinalizarem as mensagens como maliciosas.
A análise de Genians relacionou a atividade observada a campanhas anteriores de Konni com base em sobreposições de infraestrutura e componentes de malware. O relatório afirmou que o grupo tem um histórico de ataques de engenharia social, incluindo a usufrusão de organizações como grupos de direitos humanos e instituições financeiras na Coreia do Sul.
Pesquisadores de segurança documentaram uma tendência mais ampla de atores de ameaça usarem plataformas confiáveis e fluxos de trabalho familiares para espalhar malware e evitar a detecção. Em alguns incidentes recentes relacionados a grupos ligados à Coreia do Norte, agentes maliciosos também usaram ferramentas como códigos QR em campanhas de spear-phishing para burlar os controles de segurança corporativos, direcionando as vítimas para conteúdos maliciosos em dispositivos móveis.
A operação destaca desafios para proteger ecossistemas complexos de publicidade online contra abusos. Plataformas de publicidade frequentemente dependem de mecanismos de redirecionamento e rastreamento que podem ser reaproveitados por agentes maliciosos para ocultar atividades prejudiciais. O relatório destaca a necessidade de monitoramento aprimorado e capacidades de detecção de ameaças que possam identificar e bloquear tráfego malicioso dentro de infraestruturas publicitárias com aparência legítima.
O contexto mais amplo das operações cibernéticas vinculadas a estados atribuídas a grupos norte-coreanos inclui uma variedade de táticas como spear-phishing, distribuição de spyware e exploração de serviços de gerenciamento de dispositivos, ilustrando um ambiente de ameaça em evolução que tem como alvo usuários da web e organizações ao redor do mundo.