El pasado 9 de enero, el equipo de investigadores de SecurityScorecard, STRIKE descubrió o que se ha bautizado como Operación 99, una campaña de ataque realizada por el Grupo Lazarus, la unidad de piratería patrocinada por el estado de Corea del Norte, y dirigida a desarrolladores de software que buscan trabajo freelance en la Web3 y criptomonedas.
En opinión de Ryan Sherstobitoff, SVP, Threat Research & Intelligence de la compañía, “Si pensaba que las ofertas de trabajo falsas de la campaña Operation Dream Job del grupo eran malas, esta última maniobra es una clase magistral de engaño, sofisticación e intención maliciosa”. Y es que el objetivo principal de los atacantes es infiltrarse en entornos de desarrollo para robar datos críticos, como código fuente, configuraciones de sistemas y claves privadas de criptomonedas, además de explotar vulnerabilidades que puedan afectar a proyectos y empresas completas.
El modus operandi de Lazarus en esta campaña se basa en un uso sofisticado de técnicas de ingeniería social. Los atacantes crean perfiles falsos de reclutadores en plataformas profesionales como LinkedIn, utilizando nombres y empresas ficticias. Ofrecen oportunidades atractivas a desarrolladores, como pruebas de proyectos o revisiones de código, para ganar su confianza. Una vez que logran establecer contacto, los atacantes redirigen a las víctimas a clonar repositorios maliciosos en GitLab que parecen ser legítimos, pero que contienen código diseñado para conectar los sistemas de los desarrolladores a servidores de Comando y Control (C2).
El malware desplegado en Operation 99 es notable por su diseño modular y multiplataforma, adaptándose a diferentes sistemas operativos, incluidos Windows, macOS y Linux. Los principales componentes incluyen «Main99», un downloader que descarga payloads adicionales como «Payload99» y «MCLIP». Estos payloads realizan una variedad de funciones maliciosas:
- Keylogging y monitoreo del portapapeles: Capturan pulsaciones del teclado y contenido del portapapeles, buscando información confidencial como contraseñas y claves privadas.
- Robo de datos de desarrollo: Extraen código fuente, configuraciones sensibles y otros archivos críticos del entorno de desarrollo.
- Exfiltración de credenciales de navegadores: Descifran contraseñas almacenadas en navegadores mediante técnicas avanzadas que aprovechan claves de cifrado específicas de cada sistema operativo.
La infraestructura C2 utilizada por Lazarus demuestra un alto nivel de sofisticación. Los servidores están diseñados para enviar payloads personalizados según las características del sistema de la víctima, lo que permite ataques más precisos y difíciles de detectar. Además, el malware está profundamente ofuscado, con scripts comprimidos en múltiples capas mediante ZLIB y codificación Base64 invertida, lo que complica significativamente el análisis por parte de expertos en ciberseguridad.
El informe también compara esta campaña con ataques previos del grupo Lazarus, como los realizados en octubre de 2024. Aunque se observan similitudes en las tácticas generales, Operation 99 introduce mejoras en la persistencia y en la capacidad de adaptarse a diferentes entornos. Por ejemplo, los métodos de auto-destrucción de los payloads en campañas anteriores han sido reemplazados por estrategias que priorizan el control a largo plazo de los sistemas comprometidos.
Además del impacto directo en los desarrolladores, Operation 99 pone en riesgo la integridad de los proyectos y productos tecnológicos en los que trabajan las víctimas. Al comprometer entornos de desarrollo, Lazarus tiene la capacidad de insertar vulnerabilidades en el software que podría ser distribuido a gran escala, multiplicando los efectos del ataque. En sectores como Web3 y criptomonedas, donde los datos y activos digitales tienen un alto valor financiero, estas amenazas son especialmente críticas.
Otro aspecto preocupante es la capacidad del malware para interactuar de forma dinámica con los servidores C2. Los payloads no solo exfiltran datos, sino que también pueden ejecutar comandos en tiempo real, permitiendo a los atacantes realizar actividades adicionales como instalar nuevas herramientas maliciosas, explorar la red interna de la víctima o robar datos adicionales.
El informe concluye enfatizando la necesidad de mejorar las prácticas de seguridad en el ecosistema de desarrollo. Esto incluye verificar la autenticidad de los repositorios de código, implementar medidas de seguridad más robustas en los endpoints y educar a los desarrolladores para que identifiquen tácticas de ingeniería social. La campaña «Operation 99» no solo refleja la creciente sofisticación de las amenazas patrocinadas por el estado, sino que también destaca las vulnerabilidades sistémicas en la cadena de suministro tecnológica, que pueden ser explotadas para causar un daño significativo.
