Hackers respaldados por el estado de Corea del Norte están distribuyendo una versión maliciosa de una aplicación legítima desarrollada por CyberLink, un fabricante de software taiwanés, para atacar a los clientes aguas abajo.
El equipo de Inteligencia de Amenazas de Microsoft dijo el miércoles que los hackers norcoreanos habían comprometido a CyberLink para distribuir un archivo de instalación modificado de la empresa como parte de un amplio ataque de cadena de suministro.
CyberLink es una empresa de software con sede en Taiwán que desarrolla software multimedia, como PowerDVD, y tecnología de reconocimiento facial de inteligencia artificial. Según el sitio web de la empresa, CyberLink posee más de 200 tecnologías patentadas y ha enviado más de 400 millones de aplicaciones en todo el mundo.
La portavoz de CyberLink, Melinda Ziemer, le dijo a TechCrunch que la organización identificó un «problema de malware» en el archivo de instalación de una de sus aplicaciones, un programa de edición de video llamado Promeo, el 11 de noviembre. «Una vez descubierto, nuestro dedicado equipo de ciberseguridad eliminó el error de inmediato y se implementaron medidas de seguridad adicionales para evitar que esto vuelva a ocurrir en el futuro», dijo Ziemer, señalando que ninguna de las otras aplicaciones de la empresa se vio afectada.
Microsoft dijo que observó actividad sospechosa asociada con el instalador modificado de CyberLink, rastreado por la empresa como «LambLoad», ya el 20 de octubre de 2023. Hasta ahora, ha detectado el instalador troyanizado en más de 100 dispositivos en varios países, incluidos Japón, Taiwán, Canadá y Estados Unidos.
El archivo está alojado en una infraestructura de actualización legítima propiedad de CyberLink, según Microsoft, y los atacantes utilizaron un certificado de firma de código legítimo emitido a CyberLink para firmar el ejecutable malicioso, según Microsoft. «Este certificado se ha añadido a la lista de certificados no permitidos de Microsoft para proteger a los clientes de un uso malicioso futuro del certificado», dijo el equipo de Inteligencia de Amenazas de Microsoft.
La empresa señaló que una carga útil de segunda fase observada en esta campaña interactúa con una infraestructura previamente comprometida por el mismo grupo de actores de amenazas.
Microsoft ha atribuido este ataque con «alta confianza» a un grupo al que rastrea como Diamond Sleet, un actor estatal de Corea del Norte vinculado al notorio grupo de piratería Lazarus. Se ha observado que este grupo apunta a organizaciones en tecnología de la información, defensa y medios de comunicación. Y se centra predominantemente en el espionaje, la ganancia financiera y la destrucción de redes corporativas, según Microsoft.
Microsoft dijo que todavía no ha detectado actividad de manos en el teclado, pero señaló que los atacantes de Diamond Sleet comúnmente roban datos de sistemas comprometidos, se infiltran en entornos de construcción de software, avanzan aguas abajo para explotar más víctimas y tratan de obtener acceso persistente a los entornos de las víctimas.
Microsoft dijo que notificó a CyberLink sobre el compromiso de la cadena de suministro, pero no dijo si recibió una respuesta o si CyberLink había tomado alguna medida a la luz de los hallazgos de la empresa. La empresa también está notificando a los clientes de Microsoft Defender for Endpoint que se vieron afectados por el ataque.
ACTUALIZACIÓN, 29 de noviembre, 11:00 a.m. ET: Este artículo ha sido actualizado con un comentario de CyberLink.
