Vinculados a Corea del Norte Grupo Lazarus Según un nuevo informe del equipo Threat Hunter de Symantec y Carbon Black, se ha observado que utiliza el ransomware Medusa en un ataque dirigido a una entidad anónima en Oriente Medio.

La división de inteligencia de amenazas de Broadcom dijo que también identificó a los mismos actores de amenazas que estaban organizando un ataque infructuoso contra una organización de salud en los EE. UU. Medusa es una operación de ransomware como servicio (RaaS) lanzada por un grupo de ciberdelincuencia conocido como Spearwing en 2023. El grupo ha denunciado más de 366 ataques hasta la fecha.

«El análisis del sitio de filtración de Medusa revela ataques contra cuatro organizaciones sanitarias y sin fines de lucro en los EE. UU. desde principios de noviembre de 2025", dijo la empresa dijo en un informe compartido con The Hacker News.

«Las víctimas incluyeron una organización sin fines de lucro en el sector de la salud mental y un centro educativo para niños autistas. Se desconoce si todas estas víctimas fueron atacadas por agentes norcoreanos o si otras filiales de Medusa fueron responsables de algunos de estos ataques. La demanda promedio de rescate en ese período fue de 260.000 dólares».

El uso del ransomware por parte de grupos de hackers norcoreanos no carece de precedentes. Ya en 2021, había un subgrupo de Lazarus denominado Andariel (también conocido como Stonefly) observado atacando a entidades en Corea del Sur, Japón y EE. UU. con familias de ransomware a medida, como CRISTAL ROTO , Maui , y H0LYGH0ST .

adsense

Luego, en octubre de 2024, el equipo de piratas informáticos también fue vinculado a un ataque de ransomware de Play , lo que marca la transición a un casillero estándar para cifrar los sistemas de las víctimas y exigir un rescate.

Dicho esto, Andariel no es el único que ha pasado del ransomware personalizado a una variante ya disponible. El año pasado, Bitdefender revelada que otro actor de amenazas norcoreano rastreado como Moonstone Sleet, que anteriormente había lanzado una familia de ransomware personalizada llamada FakePenny, probablemente había atacado a varias firmas financieras surcoreanas con el ransomware Qilin.

Estos cambios posiblemente indiquen un cambio táctico entre los grupos de hackers norcoreanos, que operan como filiales de grupos de RaaS establecidos en lugar de desarrollar sus herramientas, dijo la empresa a The Hacker News.

«Lo más probable es que la motivación sea el pragmatismo», afirma Dick O'Brien, analista principal de inteligencia del equipo Threat Hunter de Symantec y Carbon Black. «¿Por qué tomarse la molestia de desarrollar su propia carga de ransomware cuando puede utilizar una amenaza de eficacia comprobada como Medusa o Qilin? Es posible que hayan decidido que los beneficios superan los costos en términos de tarifas de afiliación».

La campaña de ransomware Medusa del Grupo Lazarus incluye el uso de varias herramientas -

  • RP_Proxy , una utilidad de proxy personalizada
  • Mimikatz , un programa de dumping de credenciales disponible al público
  • Remontador , una puerta trasera personalizada utilizada exclusivamente por el actor de amenazas
  • InfoHook , un ladrón de información identificado anteriormente como utilizado junto con Comebacker
  • CEGADORA PUEDE (también conocido como AIRDRY o ZetaNile), un troyano de acceso remoto
  • Chrome Stealer , una herramienta para extraer las contraseñas almacenadas en el navegador Chrome

La actividad no ha estado vinculada a ningún subgrupo específico de Lazarus, a pesar de que los ataques de extorsión reflejan los ataques anteriores de Andariel.

«El cambio a Medusa demuestra que la rapaz participación de Corea del Norte en la ciberdelincuencia continúa sin cesar», dijo la empresa. «Los actores norcoreanos parecen tener pocos escrúpulos a la hora de atacar a organizaciones en EE. UU. Si bien algunas organizaciones dedicadas a la ciberdelincuencia afirman que evitan atacar a las organizaciones sanitarias por el daño que pueden provocar para su reputación, Lazaurs no parece tener ningún tipo de limitación».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.