Enligt en färsk rapport från cybersäkerhetsföretaget Proofpoint misstänks hackare understödda av medel från den nordkoreanska staten ligga bakom en stor mängd nya cyberattacker.
De storskaliga attackerna har riktats mot flera mål och ägde rum under de första månaderna av 2021.
Proofpoints experter har namngett gruppen TA406 och visar i sin rapport att de cyberkriminella bland annat ägnat sig åt spionage och utpressning med hjälp av sexuellt relaterat material. Hackarna har använt sig av så kallade nätfiskekampanjer, en metod för att utvinna personlig och känslig information från utsattas datorer på nätet.
Kampanjerna har tydliga målgrupper och riktas frekvent mot aktiva tjänstemän inom utrikespolitik och andra icke-statliga grupper vars arbete kunnat kopplas till den koreanska halvön. Personerna i de utsatta målgrupperna innefattar både journalister och akademiker.
För första gången någonsin upptäckte experterna även två kampanjer där gruppen försökte sprida skadlig programvara i syfte att användas för informationsinsamling från de infekterade datorerna.
Kopplingar till den Nordkoreanska försvarsmakten
Hackergruppens aktivitet har starka anknytningar till den nordkoreanska militären som sedan tidigare är känd för att ha genomfört cyberattacker mot västerländska ambassader och nationella säkerhetsorganisationer. Enligt experternas rapport har gruppen utfört spionage-attacker sedan 2012 och ekonomiskt motiverade attacker sedan 2018.
Rapporten beskriver också hur TA406 bytt fokus från identitetsstöld till att sprida skadlig programvara via e-post. Den första kampanjen, från mars tidigare i år, innehöll e-postmeddelanden som påstods vara från en ledande Nordkorea-expert och riktades mot organisationer i Nordamerika. Den andra attacken, som ägde rum i juni, kom från samma avsändare och påstod sig vara från den välkända utrikespolitiska specialisten Chad O’Carroll.
– Det som är mest anmärkningsvärt med denna nordkoreanska aktör är deras förkärlek för att återanvända samma taktik och rikta in sig på samma individer om och om igen. De har också använt allt från sexuellt relaterat material till legitima tjänster för ekonomisk vinning. Denna extrema nivå av uthållighet och flexibilitet är kännetecken för TA406, och skälen till att alla från utrikespolitiska experter till akademiker till journalister måste vara vaksamma, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.
Proofpoints experter drar slutsatsen att TA406 kommer fortsätta utföra attacker i syfte att stjäla känslig information, riktade mot organisationer av intresse för den nordkoreanska regeringen.