Mandiant menamai grup APT43 sebagai operasi Korea Utara

Sumber Artikel

Mandiant memperingatkan bahwa kelompok spionase Korea Utara yang baru bernama, APT43, melakukan pencurian mata uang kripto yang meluas untuk mendanai operasinya.

Perusahaan telah secara resmi "menyelesaikan" pelaku ancaman ke grup bernama, setelah mengamati aktivitasnya sejak 2018.

Kelulusan berarti Mandiant cukup percaya diri dalam penilaiannya untuk mengaitkan aktivitas yang diamatinya dengan kelompok aktor tertentu, dan APT43 adalah “kelulusan resmi pertama kami sejak Mandiant mengumumkan APT42 pada September 2022,”kata perusahaan .

Di sebuahlaporan baru , Mandiant memberikan atribusi yang meyakinkannya untuk lulus APT43.

“Kami menilai dengan keyakinan tinggi bahwa APT43 adalah operator dunia maya yang disponsori negara yang bertindak untuk mendukung tujuan geopolitik pemerintah Korea Utara yang lebih luas”, tulis perusahaan itu.

Tujuan APT43, kata Mandiant, adalah menggunakan kejahatan dunia maya untuk mendanai kemampuannya melakukan spionase dan mengumpulkan intelijen strategis.

“Operasi mereka yang paling sering diamati adalah kampanye spear-phishing yang didukung oleh domain palsu dan alamat email sebagai bagian dari taktik rekayasa sosial mereka. Domain yang menyamar sebagai situs yang sah digunakan dalam operasi pengambilan kredensial”, kata laporan itu.

Sebagian besar menyerang target Korea Selatan dan Amerika Serikat.

Dalam podcast yang diterbitkan bersamaan dengan laporan tersebut, spesialis Operasi DPRK Mandiant Michael Barnhart menjelaskan bahwa "roti dan mentega" APT43 mendapatkan informasi tentang tanggapan internasional terhadap program senjata Korea Utara.

“Ini adalah kelompok yang hanya peduli pada nuklir dan kebijakan luar negeri,” katanya.

Meskipun menyerang target pemerintah, bisnis, dan manufaktur, target yang paling menarik adalah organisasi seperti kelompok pendidikan, penelitian, atau wadah pemikir yang berfokus pada kebijakan geopolitik dan nuklir.

Mandiant mengutip kasus Jenny Town, direktur publikasi intelijen yang berfokus pada Korea Utara 38 North, yang ditiru oleh APT43 untuk mempelajari kemungkinan target di komunitas analis.

Kejahatan mata uang kripto

Sumber pendanaan utamanya untuk spionase adalah mencuri dan mencuci mata uang kripto. Pencurian bergantung pada pengumpulan kredensial, kata Mandiant.

Misalnya, itu membuat aplikasi Android jahat untuk menargetkan "kemungkinan besar pengguna China" yang mencari pinjaman mata uang kripto.

“Aplikasi dan domain terkait mungkin memanen kredensial”, jelas Mandiant.

Itu juga menggunakan berbagai varian malware.

Aktivitasnya yang paling terkenal didasarkan pada LATEOP, "pintu belakang berdasarkan skrip VisualBasic", tetapi grup tersebut telah terlihat menggunakan RAT, QUASARRAT, dan AMADE, kata laporan itu.

Itu telah mengembangkan beberapa alat multiplatformnya sendiri, termasuk yang dijuluki PENCILDOWN, varian Android dari pengunduh Windows.

“Cryptocurrency kotor” mudah untuk dicuci, laporan itu menjelaskan: APT43 menggunakan dana curian untuk membeli sewa hash dan layanan cloud mining, menghasilkan cryptocurrency yang tidak terkait dengan pembayaran asli APT43.