Onderzoek Proofpoint: TA406 richt zich op buitenlandexperts, journalisten en ngo's
TA406 wordt vaak geassocieerd met Kimsuky, een beruchte cybercriminele groep die bekendstaat om zijn spionage-activiteiten, cybercriminaliteit en sextortion, maar ook om het gebruik van malware en het stelen van inloggegevens.
In het rapport van Proofpoint worden verschillende voorbeelden hiervan nader toegelicht, waaronder twee door TA406 gebruikte methodes die nog niet eerder zijn besproken in open-source bronnen. En ten slotte wordt bewijs geleverd dat TA406 uit is op financieel gewin, onder meer via sextortion en het stelen van cryptocurrency.
Een van de campagnes die in het rapport wordt beschreven, vond plaats rond maart 2021 ten tijde van de Noord-Koreaanse raketproeven. De cyberaanvallen waren gericht op verschillende organisaties en personen die eerder nog geen doelwit waren voor TA406. Hiertoe behoorden enkel hoogstgeplaatste ambtenaren van verschillende overheidsinstellingen, een werknemer bij een adviesbureau, defensiebedrijven, wetshandhavers en meer.
“Wat het meest opvalt aan deze aan Noord-Korea gelieerde bende is dat ze dezelfde tactieken hergebruiken en zich steeds weer op dezelfde personen richten”, aldus Sherrod DeGrippo, VP Threat Research and Detection bij Proofpoint. “Ze proberen ook van alles om geld te verdienen, van sextortion tot het gebruik van legitieme diensten. Deze volharding en flexibiliteit kenmerken TA406 en zijn redenen waarom iedereen - zowel buitenlandexperts, academici en journalisten - waakzaam moet blijven.”
Er is een blog over geschreven op de website van Proofpoint. Deze vind je hier. In de blog vind je ook het volledige rapport.