Era una mañana calurosa de febrero cuando una importante empresa latinoamericana del sector bancario recibió una alerta. Una computadora empezó a comportarse de manera extraña. Primero, consultó la lista de usuarios disponibles en el sistema. Luego, chequeó la configuración de red local. Y, por último, se hizo una pregunta que, ante los ojos no expertos, podría sonar existencial: Who Am I (“¿Quién soy?”), un comando para saber el nombre del usuario actual. La compañía estaba a punto de ser hackeada.
De inmediato, el equipo de sistemas hizo lo que dicen los manuales de seguridad informática. Aisló el equipo infectado, lo desconectó de la red para detener su propagación y, como sucede con un paciente que acaba de salir del quirófano, mandó a analizar la muestra para ver de dónde venía el ataque.
Cuando un analista comenzó a diseccionarlo, el virus se empezó a desnudar. Se trataba de un generador de códigos QR falsos para engañar a usuarios y robarles dinero. Pero el experto detectó algo llamativo al revisar el código fuente -la fórmula detrás del malware-. Era rudimentario, artesanal y no denotaba profesionalismo de su autor. Pero con el potencial destructivo de una especie de bomba molotov digital.
Sorprendido, pidió información a Crowdstrike, una empresa de inteligencia y análisis de amenazas. Y fue entonces cuando se dio cuenta de que lo que tenía bajo el microscopio era apenas un pequeño engranaje de una de las maquinarias de espionaje y ciberdelincuencia más grande del mundo: Corea del Norte, la dictadura gobernada por Kim Jong-un.
Detrás de ese falso generador de QRs se encontraba Labyrinth Chollima, una división de hackers que pertenece a Lazarus, el grupo cibercriminal patrocinado por el Buró General de Reconocimiento (RGB) de Corea del Norte, agencia que coordina al menos a unos 7 mil hackers. Un adversario poderoso que tiene en su haber a víctimas de la talla del gigante japonés Sony, expertos en ciberespionaje y robo de activos.
Con un virus precario, escrito con tramos “copypasteados” de otros, hecho a tropezones de líneas de código fuente, Norcorea estaba intentando robar millones de una compañía de este lado del planeta. Todo esto con un virus que todavía no había podido ser detectado en las bases de datos de los antivirus más usados del mundo.
Bautizado “QRLOG”, este malware es apenas una muestra de una tradición de cibercriminales norcoreanos que juegan un rol crucial en el tablero de los hackers patrocinados por Estados y el espionaje de las grandes ligas en el siglo XXI.
Y es, también, un ejemplo de cómo recaudan los ciber ejércitos más poderosos del mundo.
El vasto mundo de los virus (malwares)
Un virus, técnicamente llamado malware (acrónimo de “malicious software”, programa malicioso), “es un programa diseñado para infiltrarse en sistemas informáticos ya sea a través de descargas, enlaces o vulnerabilidades”, explica Agustín Merlo, investigador en seguridad informática.
“Una vez dentro, un malware realiza acciones maliciosas como robar información personal, bloquear archivos [ransomware] o propagarse a otros sistemas. También y en varios casos, puede persistir en el sistema y ejecutarse continuamente sin ser detectados por el antivirus”, sigue.
Si bien los primeros fueron detectados en la década del 70, a medida que más equipos se fueron conectando a internet, las amenazas se multiplicaron y la superficie de ataque se hizo más grande.
En la actualidad, y si bien es muy difícil tener un número exacto, diversas empresas de ciberseguridad y antivirus estiman que hay más de mil millones de malwares identificados. Las motivaciones para fabricarlos son diversas, pero los analistas los agrupan a todos bajo una misma categoría: “Actores de amenazas”, o threat actors.
En el caso de esta ciberarma de Corea del Norte, la serendipia jugó a favor de Mauro Eldritch, Analista de Amenazas de Birmingham Cyber Arms: nunca pensó que la muestra que se puso a analizar podría tener que ver con un actor de peso en el mapa global de la ciberdelincuencia.
“Es un programa que se intenta disfrazar de un generador de códigos QR, esos que se usan por ejemplo para pagar en un negocio con una aplicación como Mercado Pago”, cuenta Eldritch a Clarín. Por esto, lo nombró “QRLOG” (traducido, “registrador de códigos QR»).
“QRLOG intenta disimular su comportamiento creando un archivo de ‘logs’ (registros) pero con extensión .java. Es clásico RAT (Remote Access Tool), una herramienta que permite a un ciberdelincuente conectarse remotamente a tu equipo y una vez en él, hacer cualquier cosa como si estuviese sentado delante”, grafica.
Eldritch es experto en lo que en la jerga se conoce como threat hunting o cacería de amenazas: analizar cómo se comporta la escena cibercriminal, qué ataques ocurren y las tendencias del ciberdelito. Está acostumbrado a analizar virus y reportarlos en sus cuentas de redes sociales, pero cuando hay una detección de uno nuevo, la adrenalina es otra: ¿quién lo hizo? ¿Por qué? ¿Cómo lo programó?
Para poder responder estas preguntas, un primer paso fue trabajar de manera conjunta con un colega de Crowdstrike. Una vez que ambos investigaron el asunto por separado (“así se hace, para evitar sesgos”, explica), lograron identificar que el virus se estaba conectando a un servidor de la infraestructura de Labyrinth Chollima, el grupo hacker.
Con esta información, el rompecabezas empezaba a tener piezas más identificables. Un grupo profesional de hackers financiados por Corea del Norte, un nuevo virus que se disfraza para robar activos y una empresa bancaria como objetivo.
Lo que quedaba era unir esas piezas para entender la anatomía de este malware, una práctica necesaria en el triage de una amenaza nueva: para poder prevenir un virus hay que entenderlo.
Un código rudimentario
La escritura de código fuente es el día a día de los programadores. Muchos coinciden en que es un oficio que tiene puntos de contacto con el arte, y esto se puede apreciar en la utilización del término “elegancia” a la hora de hablar de un código bien escrito.
En el caso del código de este malware, nada más alejado de una escritura elegante. “Es muy casero, está lleno de problemas de escritura en lo que a programación respecta. Y sin embargo, parece ser muy efectivo”, cuenta Eldritch.
Clarín compartió el código con Maximiliano Firtman, programador experto y docente con más de 26 años de experiencia en el rubro, para conocer su opinión sobre la escritura de este código en Java, uno de los lenguajes más extendidos del mundo.
“Es un código de alguien que no tiene mucha experiencia programando en Java, se nota que fue copiando y pegando cosas de Internet. El malware no está tan escondido, de hecho. Se lo ve como un producto solitario y no algo hecho por un equipo de actores maliciosos profesionales que se esforzaron en evitar la detección”, arriesgó el experto.
Esconder un software malicioso, es decir, lograr que se haga pasar por cualquier cosa menos por una amenaza, es uno de los principales objetivos de los programadores de malwares.
“Incluso apunta a una dirección (URL) para sacar la información, lo cual es poco profesional a nivel hacking porque si te matan ese DNS, se te cae. Se supone que ponés muchos posibles dominios por si te lo bloquean una vez que está dando vueltas. Eso también es indicación de amateurismo”, remata el fundador de IT Master Academy.
El problema que enfrentó Eldritch cuando quiso ir más allá de esto fue que, al ser un virus nuevo, ningún sistema de antivirus lo identificaba. Sólo una compañía vietnamita, CMC Threat Intelligence, lo había marcado como “sospechoso”. Pero ninguna otra lo identificaba como malicioso.
Esto se debe a que no hubo heurística capaz de identificarlo: “La heurística es una técnica utilizada para detectar amenazas informáticas a través de patrones y comportamientos sospechosos”, clarifica Merlo, quien se dedica a registrar malwares y es experto en phishing.
“Pero la detección por heurística no siempre es precisa, puede que un programa legítimo realice acciones que se encuentren dentro de un patrón definido por el antivirus como actividad sospechosa, lo cual puede arrojar lo que llamamos un ‘falso positivo’”, advierte.
QRLOG, en este caso, no pudo ser detectado, lo que significa que incluso hoy puede estar instalado en un equipo sin levantar sospechas.
Cazando al cazador: Lazarus, detrás del ataque
Ya con el cógido desmenuzado y el dato de que el virus «hablaba» con un servidor de Labyrinth Chollima, el trabajo de inteligencia se emepzaba a centrar en un objetivo claro: tratar de entender a este grupo de hackers, para recolectar pistas que pudieran explicar qué motivó el ataque contra una empresa de América Latina.
Lo primero fue corroborar con Crowdstrike el vínculo entre QRLOG y los Chollima. “A comienzos de 2023, Crowdstrike Falcon detectó una actividad maliciosa en ciertos ecosistemas del sector financiero tech, principalmente criptomonedas», explicó la empresa de inteligencia ante la consulta de este medio.
«Tras el análisis del caso, concluimos que la actividad relacionada al malware QRLOG se puede atribuir con un alto grado de confianza a Labyrinth Chollima, a partir del alcance y las tácticas, técnicas y procedimientos de ataque”, confirmaron.
Al indagar más en profundidad, un vocero de Crowdstrike explicó que Labyrinth Chollima es un subgrupo dentro de Lazarus Group, uno de los equipos de hackers patrocinados por estados más importantes del mundo.
“Estos actores son a menudo altamente sofisticados, cuentan con recursos considerables y pueden tener objetivos estratégicos, políticos o económicos específicos en mente”, explicó Mario Miccuci, Investigador de Seguridad Informática de ESET Latinoamérica. Muchos de sus integrantes, al día de hoy, siguen bajo el radar internacional del FBI.
En este caso, Labyrinth Chollima -que como parte de Lazarus incluye a otros adversarios conectados a Norcorea, incluyendo Silent Chollima y Stardust Chollima– “es uno de los adversarios más prolíficos de Corea del Norte que Crowdstrike logró identificar”.
“La célula, activa desde 2009, está orientada a generar ganancias robando activos a entidades financieras. Son afiliados del Bureau 121 del Buró General de Reconocimiento (RGB) y conducen primariamente operaciones de espionaje y esquemas de beneficio económico: sus actividades recientes incluyen recolección de inteligencia, ganancias financieras, destrucción de archivos y robo de propiedad intelectual”, sigue Crowdstrike.
Este Buró es uno de los engranajes fundamentales de la dictadura de Kim Jong-un, supremo líder de la República Popular Democrática de Corea desde hace 13 años.
Se trata de un actor con mucho peso en la escena internacional. La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos definió al programa norcoreano como una “amenaza sofisticada y ágil de espionaje, ciberdelincuencia y ataques que continúa adaptándose a las tendencias mundiales de la ciberdelincuencia llevando a cabo robos de criptomonedas”.
A fines de marzo de este año, Labyrinth Chollima llevó adelante una operación contra 3CX, una reconocida empresa de llamadas telefónicas por internet (lo que se conoce como VoIP), en la cual lograron hackear a los programas usados en Windows y el sistema operativo de Apple, iOS.
Según la propia Crowdstrike, que identificó este ataque, la evidencia sugería por aquel entonces que el grupo se había infiltrado en la compañía sin ser detectada durante un mes, lapso en el cual pudieron “troyanizar” a los equipos con otro tipo de malware. Un troyano es un tipo de virus que, precisamente, se hace pasar por algo legítimo pero conlleva una carga maliciosa.
Hay otro caso: en mayo, Crowdstrike detectó un archivo .zip inyectado por Labyrinth Chollima que se hacía pasar por una evaluación de un empleado, que en realidad era un documento troyanizado que apuntaba a un empleado nuclear del sector energético ruso.
QRLOG, identificada y bautizada por Eldritch, apareció como un tercer caso de evidencia de las operaciones del grupo, esta vez en América Latina: extraer activos a través de un falso QR.
Un caso más que, para poder entenderlo, demanda mirar la película de la ciberguerra global.
“Corea del Norte ocupa un lugar destacado en el panorama global de amenazas cibernéticas. El país ha sido ampliamente asociado con actividades cibernéticas maliciosas, incluyendo ataques y campañas de espionaje a gran escala”, explica Miccuci de ESET.
La obtención de ingresos económicos es una de las patas principales a la hora de ver sus comportamientos, razón por la cual la empresa del sector bancario atacada por QRLOG fue un target atractivo.
“Aunque Corea del Norte es un país relativamente pequeño y aislado, ha desarrollado una capacidad cibernética significativa y ha utilizado la ciberdelincuencia como una forma de obtener ingresos, inteligencia y ejercer influencia en la comunidad internacional”, sigue.
Labyrinth Chollima, como subgrupo dentro de Lazarus, es así una pieza más en este equipo de hackers, el más poderoso de Corea del Norte. “Lazarus es un grupo de ciberdelincuentes altamente sofisticados que ha llevado a cabo una serie de ciberataques de alto perfil en todo el mundo. Se cree que está respaldado por el gobierno norcoreano y que están activos al menos desde principios de la década de 2000, evolucionado en sus tácticas y capacidades a lo largo de los años”, agrega el analista de ESET.
Se cree, incluso, que es el grupo que estuvo detrás del famoso ransomware WannaCry en diversas operaciones para exigir rescates tras el encriptado de información mediante ransomware.
Con sus diversos «Chollimas», Lazarus diversifica sus operaciones e intenta extraer recursos de sus víctimas en cualquier parte del mundo.
Cómo salir del laberinto
El mapa global de la ciberdelincuencia se modificó para peor durante los últimos años. Si bien Estados y empresas invierten tiempo y recursos en tratar de frenar los ataques, casi todas las empresas de inteligencia de amenazas detectan en sus informes de los últimos dos años un incremento sustancial en los ciberataques. Fortinet detectó que América Latina es una de las regiones con más filtraciones de datos del mundo. En Argentina, a modo de ejemplo, los ciberataques crecieron un 200% en 2022.
El problema no sólo preocupa a los gobiernos, sino también a las big tech. En el caso de QRLOG, el servidor en el que estaba operando Labyrinth Chollima era de AWS, la división en la nube de Amazon, y una de las más grandes del mundo.
Esto es un problema del que no los gigantes tech están al tanto: “Los hackers están dispuestos a pagar por AWS porque alguien que envía spam, por ejemplo, puede pagar un bajo monto para tener un servidor Linux y enviar un millón de correos electrónicos de phishing”, explicaba Mark Ryland, jefe de seguridad de la información (CISO) de AWS, en una cumbre en Washington a principios de junio de este año.
“Nos preocupa mucho el spam procedente de nuestra plataforma. Baja nuestra reputación, causa problemas a los clientes válidos porque no pueden enviar correos electrónicos, así que nos esforzamos mucho en todo el ciclo de vida del registro de una cuenta”, seguía. QRLOG es un ejemplo de este problema que marca el CISO de una de las empresas más ricas y poderosas del mundo.
Por su parte, el recorrido para identificar a una amenaza es parte de la tarea de un analista de seguridad. Pero cuando un virus tiene una conexión con un grupo patrocinado por un Estado, la muestra analizada se convierte en una pequeña joya a nivel inteligencia. Esto clarifica cómo se mueven las piezas en el tablero de la ciberdelincuencia global y la ciberguerra que libran las potencias bélicas.
El malware descubierto, análogamente, una joya barata: la rusticidad de QRLOG no permite colocarlo entre los virus mejores diseñados y camuflados de la historia.
Pero es esta debilidad la que lo convierte en algo todavía más curioso, casi único: Labyrinth Chollima está usando todos los recursos de Corea del Norte para producir más virus, sean buenos o no. Al fin y al cabo, lo único que importa es que sean efectivos.
El potencial del daño que tienen estos grupos es el de ser amenazas silenciosas o, como se dice en la jerga, una “Amenaza Persistente Avanzada” (APT).
“Un APT se refiere a una categoría de ataques cibernéticos altamente sofisticados y dirigidos que se caracterizan por su capacidad para evadir las medidas de seguridad tradicionales y mantenerse en el entorno objetivo durante períodos prolongados sin ser detectados” explica Miccuci de ESET.
Dijo Kim Jong-un, líder supremo norcoreano, hace 10 años: “La ciberguerra es una espada polivalente que garantiza a las Fuerzas Armadas Populares de Corea del Norte una capacidad de ataque implacable, junto con las armas nucleares y los misiles”.
Labyrinth Chollima sigue cabalgando sobre este peligroso terreno: el pasado 20 de julio apuntó a dos empresas norteamericanas para robar criptomonedas a través de la plataforma en la nube JumpCloud.
Como un subgrupo de Lazarus, sus tácticas recién empiezan a mostrar patrones que permiten «perfilarlos», como se dice en la jerga de la inteligencia.
Poco se sabe de ellos todavía: ni cuántos son ni con qué arsenal cuentan. Apenas que que tomaron su nombre de los Chollimas, un caballo alado que forma parte de la mitología del este asiático, “demasiado rápido y elegante como para ser montado por cualquier mortal”.
El laberinto que están construyendo para Corea del Norte parece tener una arquitectura bastante precaria.
Salir de allí quizás sea más difícil de lo que muchos creen.