Sommario
APT45, un gruppo di cyber spionaggio legato alla Corea del Nord, ha mostrato un’evoluzione nelle sue operazioni riflettendo le priorità mutevoli della DPRK. Attivo dal 2009, il gruppo ha iniziato a concentrarsi su agenzie governative e l’industria della difesa dal 2017. Nel 2019, le attività di APT45 erano allineate con l’interesse di Pyongyang per le questioni nucleari e l’energia. Sebbene non sia chiaro se le operazioni a scopo di lucro siano attualmente una priorità per APT45, il gruppo si distingue dagli altri operatori nordcoreani per il suo sospetto interesse nel ransomware.
Settore Finanziario
APT45, noto ai lettori di Matrice Digitale come Andariel, ha mirato il settore finanziario, utilizzando RIFLE nel 2016 per attaccare un’organizzazione finanziaria sudcoreana. L’attacco diretto è proseguito fino al 2021, quando il gruppo ha effettuato spear-phishing contro una banca dell’Asia meridionale.
Infrastrutture Critiche
Nel 2019, APT45 ha preso di mira direttamente strutture di ricerca nucleare e centrali nucleari come la centrale nucleare di Kudankulam in India. Questo rappresenta uno dei pochi casi noti di operazioni informatiche nordcoreane contro infrastrutture critiche.
Furto di proprietà intellettuale
Nel settembre 2020, APT45 ha attaccato la divisione di scienze delle colture di una multinazionale, probabilmente a causa del peggioramento della produzione agricola dovuto alla chiusura dei confini per il COVID-19. Nel 2021, diversi operatori nordcoreani, incluso APT45, hanno concentrato le loro attività sui settori della sanità e delle farmaceutiche durante un sospetto focolaio di COVID-19 in Corea del Nord. L’interesse per la ricerca sanitaria è continuato nel 2023, suggerendo l’assegnazione di risorse a questo tipo di targeting.
Utilizzo di Ransomware
Mandiant traccia diversi cluster di attività per i quali sospetta, ma non può confermare, l’attribuzione ad APT45. Rapporti pubblici affermano che questi cluster hanno utilizzato ransomware, possibilmente per finanziare le loro operazioni o generare entrate per il regime.
- Nel 2022, la Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha riportato l’uso di ransomware MAUI da parte di attori sponsorizzati dallo stato nordcoreano per colpire i settori della sanità e della salute pubblica.
- Nel 2021, Kaspersky ha riportato l’identificazione del ransomware SHATTEREDGLASS, utilizzato da cluster sospettati di appartenere ad APT45.
Le operazioni di APT45, guidate dalle priorità mutevoli della Corea del Nord, mostrano un modello di targeting che include il settore finanziario, infrastrutture critiche e il furto di proprietà intellettuale. Con un possibile utilizzo di ransomware, APT45 continua a rappresentare una minaccia significativa nell’arena della sicurezza informatica globale.
