Um estudo divulgado pelo Google revelou novas informações sobre as atividades de um grupo de hackers norte-coreanos conhecido como APT43, e sobre as medidas tomadas pela empresa para proteger seus usuários.
O APT43, descoberto em 2018, tem como missão coletar informações para o Reconhecimento do Bureau Geral, o serviço de inteligência estrangeira da Coreia do Norte.
O grupo rouba criptomoedas para comprar infraestrutura operacional, em linha com a ideologia de autossuficiência do estado de juche da Coreia do Norte.
Dentre os subgrupos do APT43, o Archipelago é o que mais chama atenção. Esse grupo tem como alvo indivíduos com conhecimentos em questões de política norte-coreana, como sanções, direitos humanos e não proliferação.
Alvos incluem contas do Google e de outras plataformas pertencentes a funcionários governamentais e militares, think tanks, formuladores de políticas, acadêmicos e pesquisadores na Coreia do Sul, nos Estados Unidos e em outros lugares.
O Archipelago envia emails de phishing, se passando por representantes de meios de comunicação ou think tanks, para induzir especialistas em questões norte-coreanas a participar de entrevistas ou fornecer informações.
Os destinatários são direcionados a um site de phishing que se passa por uma tela de login. Após inserirem suas senhas, os usuários são redirecionados para um documento benigno com perguntas de entrevista ou solicitações de informação.
Os pesquisadores descobriram ainda que o Archipelago investe tempo e esforço para estabelecer um relacionamento com os alvos, enviando vários e-mails ao longo de dias ou semanas antes de enviar um link ou arquivo malicioso.
A quadrilha também utiliza arquivos do Google Drive para o controle de comando e compartilhamento de malwares.
Embora o Google tenha tomado medidas para evitar o uso de sua plataforma pelo grupo de hackers, o Archipelago continua a investir em técnicas sofisticadas para roubar informações sensíveis.