Puerta trasera OpenCarrot implementada por actores de amenazas de Corea del Norte
Dos grupos distintos de estados-nación originarios de Corea del Norte se han asociado con una intrusión cibernética dirigida a NPO Mashinostroyeniya, una importante empresa rusa especializada en ingeniería de misiles.
Según SentinelOne, una empresa de seguridad cibernética, han detectado "dos casos de compromisos cibernéticos relacionados con Corea del Norte que involucran sistemas de TI internos sensibles". Estos casos abarcan un incidente relacionado con el compromiso de un servidor de correo electrónico y la introducción de una puerta trasera de Windows denominada OpenCarrot.
Atribución compleja de OpenCarrot
La violación del servidor de correo electrónico basado en Linux se ha atribuido a ScarCruft. Por otro lado, el implante OpenCarrot ha estado vinculado previamente al Grupo Lazarus, un actor consolidado en este ámbito. Estos ataques se marcaron a mediados de mayo del año 2022.
Situada en Reutov, la NPO Mashinostroyeniya es una oficina de diseño especializada en cohetes. Fue objeto de sanciones por parte del Departamento del Tesoro de EE. UU. en julio de 2014. Estas medidas se tomaron debido a su conexión con "los continuos esfuerzos de Rusia para desestabilizar el este de Ucrania y su continua ocupación de Crimea".
Aunque ScarCruft (también conocido como APT37) y Lazarus Group comparten vínculos con Corea del Norte, vale la pena destacar que ScarCruft está bajo la supervisión del Ministerio de Seguridad del Estado (MSS). En contraste, el Grupo Lazarus opera dentro del Laboratorio 110, una división de la Oficina General de Reconocimiento (RGB), que sirve como la principal agencia de inteligencia extranjera de Corea del Norte.
Capacidades de OpenCarrot
La herramienta OpenCarrot se ejecuta como una biblioteca de enlaces dinámicos (DLL) para Windows y admite una variedad de más de 25 comandos. Estos comandos facilitan tareas como el reconocimiento, la manipulación de sistemas y procesos de archivos y la gestión de múltiples métodos de comunicación.
La técnica precisa utilizada para violar el servidor de correo electrónico, así como la serie de acciones empleadas para entregar OpenCarrot, siguen sin revelarse. Sin embargo, se sabe que ScarCruft a menudo emplea tácticas de ingeniería social para engañar a las víctimas e introducir puertas traseras como RokRat.
Además, tras un examen más detenido de la infraestructura de ataque, se identificaron dos dominios: centos-packages[.]com y redhat-packages[.]com. Sorprendentemente, estos dominios comparten similitudes con los nombres utilizados por los actores de amenazas durante el hackeo de JumpCloud que ocurrió en junio de 2023.
