Il gruppo di hacking Andariel, noto per le sue connessioni con il governo nordcoreano, ha recentemente cambiato strategia, concentrandosi su attacchi finanziari contro organizzazioni degli Stati Uniti. Identificato come un sotto-cluster del famigerato Lazarus Group, Andariel è stato al centro dell'attenzione dopo aver preso di mira tre diverse organizzazioni statunitensi nell'agosto 2024. Anche se gli attacchi non sono riusciti a distribuire ransomware con successo all'interno delle reti colpite, Symantec, parte di Broadcom, suggerisce che la motivazione dietro questi attacchi fosse principalmente finanziaria.

Andariel, noto anche con nomi come APT45, DarkSeoul e Stonefly, è attivo almeno dal 2009 ed è noto per l'uso di ransomware come SHATTEREDGLASS e Maui. Tuttavia, il gruppo non si limita a ciò, avendo sviluppato un arsenale di backdoor personalizzate tra cui Dtrack, TigerRAT e LightHand. Questi strumenti consentono al gruppo di mantenere l'accesso alle reti compromesse e di eseguire comandi remoti.

Un elemento chiave delle recenti attività di Andariel è l'uso di strumenti come Dtrack e Nukebot. Quest'ultimo ha la capacità di eseguire comandi, scaricare e caricare file e catturare schermate, ampliando il potenziale di controllo remoto del gruppo. Nonostante Nukebot non fosse precedentemente associato a Stonefly, il suo codice sorgente trapelato potrebbe aver facilitato l'acquisizione da parte del gruppo.

Gli attacchi di Andariel spesso sfruttano vulnerabilità note in applicazioni esposte a Internet, una tattica comune per ottenere accesso iniziale alle reti bersaglio. Tra gli strumenti utilizzati vi sono Mimikatz, Sliver e PuTTY, molti dei quali sono open-source o pubblicamente disponibili. In un tentativo di mascherare le loro attività, i hacker hanno utilizzato un certificato invalido che impersona il software Tableau, una tecnica di offuscamento precedentemente segnalata da Microsoft.

Nonostante il passaggio del gruppo verso operazioni di spionaggio dal 2019, Symantec ha evidenziato che Andariel ha recentemente intensificato gli attacchi a scopo estorsivo contro organizzazioni statunitensi. Questo sviluppo è particolarmente preoccupante, considerando le ripercussioni globali degli attacchi informatici sponsorizzati da stati nazionali. Parallelamente, è emerso che anche un attore statale nordcoreano, noto come Kimsuky, ha compromesso un produttore di sistemi di difesa tedesco utilizzando attacchi di spear-phishing sofisticati.

Il panorama della sicurezza informatica continua a evolversi rapidamente, con gruppi come Andariel che rappresentano una minaccia significativa per le organizzazioni di tutto il mondo. La necessità di difese robuste e aggiornamenti costanti delle infrastrutture di sicurezza è vitale per mitigare i rischi associati a questi attacchi mirati e sempre più frequenti.