La campagna in breve
- Nel corso di tutto il 2021, TA406, attore di minacce noto perché allineato alla Corea del Nord, ha condotto frequenti campagne di furto di credenziali mirate ai settori della ricerca, istruzione, governativo, media e altre organizzazioni.
- Proofpoint ritiene che TA406 sia uno dei diversi attori dietro l’attività pubblicamente tracciata come Kimsuky, Thallium e Konni Group.
- TA406 di solito non impiega malware, tuttavia, due notevoli campagne 2021 attribuite a questo gruppo hanno tentato di distribuire malware che potrebbe essere utilizzato per la raccolta di informazioni.
- TA406 è tipicamente impegnato nello spionaggio, nel crimine informatico e nella sextortion.
Overview
Per tutto il 2021, Proofpoint ha rilevato campagne di furto di credenziali in corso lanciate da TA406, un attore associato alla Repubblica Popolare Democratica della Corea (DPRK). I nostri analisti hanno osservato campagne di TA406 dal 2018 contro gli utenti, rimaste sempre di basso volume fino all’inizio di gennaio 2021. Da gennaio a giugno 2021, Proofpoint ha osservato campagne quasi settimanali rivolte a esperti di politica estera, giornalisti e organizzazioni non governative (ONG).
In questo report sono descritte in dettaglio molte delle campagne e dei comportamenti associati a un attore che opera per conto del governo nordcoreano – TA406 – la sua associazione a Kimsuky, nome ampiamente monitorato dalla comunità di threat intelligence.
Vengono poi illustrate le attività di TA406 ricoprendo il ruolo di tre attori di minacce separati: TA406, TA408 e TA427 e le differenze tra loro. Il report esamina anche la tempistica della campagna e il target di TA406, con una panoramica sugli strumenti e i servizi utilizzati.
Il report completo è disponibile qui https://www.proofpoint.com/us/blog/threat-insight/triple-threat-north-korea-aligned-ta406-scams-spies-and-steals