En enero de 2021, el Grupo de Análisis de Amenazas de Google publicó un informe detallando una campaña de ciberespionaje llevada a cabo por un actor de amenazas vinculado a Corea del Norte que estaba dirigido a expertos en seguridad involucrados en la investigación y desarrollo de vulnerabilidades en diferentes empresas y organizaciones y parece que la campaña todavía está en curso.
La operación de ciberespionaje involucró a los piratas informáticos utilizando una serie de trucos para ganarse la confianza de las víctimas, principalmente haciéndose pasar por los propios investigadores. Los atacantes crearon sus propios blogs de investigación que contenían análisis de vulnerabilidades que habían sido divulgadas públicamente, y establecieron múltiples perfiles de Twitter donde publicaron enlaces a su blog y publicaron videos de sus hazañas reivindicadas.
En un nuevo informe sobre esta amenaza, Google dijo que en marzo de 2021 los mismos atacantes crearon un nuevo sitio web con perfiles de redes sociales asociados para una empresa falsa llamada "SecuriElite", que supuestamente proporcionó servicios de seguridad, como pentests, evaluaciones de seguridad de software y exploits.
Este sitio web tenía un enlace a la clave pública PGP del actor de amenazas, que en ataques anteriores actuó como el señuelo para visitar el sitio malicioso que contiene un exploit del navegador.
"El último lote de perfiles de redes sociales del atacante continúa la tendencia de hacerse pasar por compañeros investigadores de seguridad interesados en la explotación y la seguridad ofensiva. En LinkedIn, identificamos dos cuentas que se hacen pasar por reclutadores para empresas antivirus y de seguridad. Hemos informado de todos los perfiles identificados de redes sociales a las plataformas para permitirles tomar las medidas apropiadas", dijo Google.
Los investigadores dijeron que no han observado que el nuevo sitio web atacante entregar contenido malicioso, pero lo han añadido a Google Safebrowsing como precaución.
"Basándonos en su actividad, seguimos creyendo que estos actores son peligrosos, y probablemente tienen más de 0 días. Animamos a cualquier persona que descubra una vulnerabilidad de Chrome a que informe de esa actividad a través del proceso de envío del Programa Chrome Vulnerabilities Rewards", dijo Google.
