Den senaste aktiviteten från aktören har sannolikt har till uppgift att generera intäkter för den nordkoreanska regimen genom att distribuera e-postkampanjer laddade med skadlig kod för att stjäla kryptovaluta.
Det innebär också ett skifte för TA444, som tidigare riktat in sig på banker och finansiella. Under 2022 har man istället helt fokuserat på kryptovaluta.
Kampanjerna använder blockchain-relaterade lockbeten, falska jobbmöjligheter på prestigefyllda företag eller lönejusteringar för att lura mottagare att klicka. Vad som är speciellt med TA444 är att aktören dels ständigt anpassar sig till nya metoder, dels använder sig av sociala medier som en del av sin taktik. Särskilt aktiva är TA444 på LinkedIn.
TA444 nyttjar mejlverktyg som SendInBlue och SendGrid för att antingen skicka vidare mottagarna till filer lagrade i molnet eller att koppla upp mottagarna direkt mot TA444. Genom att använda sig av verktygen undviker man att fastna i spamfilter.
– Genom att visa upp en startup-mentalitet och en passion för kryptovaluta, leder TA444 Nordkoreas kassaflödesgenerering för regimen. Den här hotaktören upptäcker snabbt nya attackmetoder samtidigt som den omfamnar sociala medier som en del av deras strategi. 2022 tog TA444 sitt fokus på kryptovalutor till en ny nivå och har tagit sig an att efterlikna cyberbrottslighetens ekosystem genom att testa en mängd olika infektionskedjor för att utöka sina intäktsströmmar, säger Greg Lesnewich, cybersäkerhetsforskare på Proofpoint.
Några nyckelpunkter från rapporten:
- TA444 är en nordkoreansk statssponsrad hotaktör som testade många infektionsmetoder 2022 med varierande framgång.
- TA444 är unik bland statskopplade aktörer eftersom dess primära verksamhet är ekonomiskt motiverad.
- Medan TA444 har varit aktiv kring sin inriktning på kryptovalutor sedan åtminstone 2017, har gruppen antagit en mentalitet som påminner om en startup under senare delen av 2022.
Aktuellt
SENASTE
