Mandiant ha publicado una entrada de blog que detalla una campaña de ciberespionaje llevada a cabo por un grupo sospechoso de tener vínculos con Corea del Norte, al que se le ha dado el nombre de UNC2970. Este grupo se hace pasar por reclutadores de empresas importantes para engañar a sus víctimas con ofertas de trabajo falsas.
Lo que me pareció especialmente interesante fue el uso por parte de UNC2970 de una versión troyanizada del lector de PDF de código abierto SumatraPDF. No están explotando una vulnerabilidad en SumatraPDF en sí, sino que modifican el código para propagar su malware.
Esta técnica pone de manifiesto la creciente amenaza que representa la cadena de suministro de software. Incluso cuando se utiliza software de código abierto, es fundamental actuar con cautela y garantizar la integridad del origen del software.
También me impresionó el análisis detallado de Mandiant sobre la cadena de infección, desde la captación de la víctima con un archivo PDF cifrado hasta la implementación de la puerta trasera MISTPEN.
Este análisis proporciona información valiosa para que los investigadores y defensores de la seguridad comprendan mejor las tácticas, técnicas y procedimientos (TTP) de UNC2970 y mejoren sus defensas contra este grupo.
Recomiendo encarecidamente leer la entrada del blog de Mandiant para obtener el análisis completo, incluidos los indicadores de compromiso (IOC) y las reglas YARA para la detección y respuesta.
