Los piratas informáticos respaldados por el Estado norcoreano están distribuyendo una versión maliciosa de una aplicación legítima desarrollada por CyberLink, un fabricante de software taiwanés, dirigida a clientes.
El equipo de inteligencia de amenazas de Microsoft dijo que piratas informáticos norcoreanos habían comprometido CyberLink para distribuir un archivo de instalación modificado de la empresa como parte de un ataque de amplio alcance a la cadena de suministro.
CyberLink es una empresa de software con sede en Taiwán que desarrolla software multimedia, como PowerDVD, y tecnología de reconocimiento facial AI. Según la empresa la web de CyberLink posee más de 200 tecnologías patentadas y ha distribuido más de 400 millones de aplicaciones en todo el mundo.
Microsoft dijo que observó actividad sospechosa asociada con el instalador CyberLink modificado, rastreado por la compañía como “LambLoad”, ya el 20 de octubre de 2023. Hasta ahora ha detectado el instalador troyanizado en más de 100 dispositivos en varios países, incluidos Japón, Taiwán, Canadá y Estados Unidos.
El archivo está alojado en una infraestructura de actualización legítima propiedad de CyberLink, según Microsoft, y los atacantes utilizaron un certificado de firma de código legítimo emitido a CyberLink para firmar el ejecutable malicioso, según Microsoft. “Este certificado se ha agregado a Microsoft en su lista de certificados no permitidos para proteger a los clientes del uso malicioso futuro del mismo”, afirmó el equipo de Threat Intelligence de Microsoft.
La compañía señaló que una carga útil de la segunda fase observada en esta campaña interactúa con la infraestructura previamente comprometida por el mismo grupo de creadores de amenazas.
Microsoft ha atribuido este ataque con “alta confianza” a un grupo al que rastrea como Diamond Sleet, un actor asociado a Corea del Norte vinculado al notorio grupo de hackers Lazarus. Se ha observado que este grupo apunta a organizaciones de tecnología de la información, defensa y medios de comunicación. Y se centra predominantemente en el espionaje, los beneficios económicos y la destrucción de redes corporativas, según la propia Microsoft.
Microsoft dijo que aún tiene que detectar actividad práctica en el teclado, pero señaló que los atacantes de Diamond Sleet comúnmente roban datos de sistemas comprometidos, se infiltran en entornos de creación de software, avanzan hacia abajo para explotar a más víctimas e intentan obtener acceso persistente a los entornos de las víctimas.
Microsoft dijo que notificó a CyberLink sobre el compromiso de la cadena de suministro, pero no dijo si había recibido una respuesta o si CyberLink había tomado alguna medida a la luz de los hallazgos de la compañía. La compañía también está notificando a los clientes de Microsoft Defender for Endpoint que se vieron afectados por el ataque.
