O LABYRINTH CHOLLIMA está entre os adversários mais prolíficos ligados à Coreia do Norte que a CrowdStrike Intelligence rastreia e é responsável por algumas das invasões mais notáveis da Coreia do Norte, incluindo ataques destrutivos contra entidades sul-coreanas e americanas e o incidente global do ransomware WannaCry.
A CrowdStrike Intelligence avalia que três subgrupos operacionais distintos e altamente especializados surgiram desde 2018, cada um com malware, objetivos e técnicas especializadas. Essa avaliação reflete uma reavaliação abrangente dos dados históricos e um desafio deliberado à nossa estrutura de atribuição anterior do LABYRINTH CHOLLIMA. Agora rastreamos esses subgrupos como GOLDEN CHOLLIMA, PRESSURE CHOLLIMA e o grupo central LABYRINTH CHOLLIMA. A inteligência eficaz exige que reavaliemos constantemente as suposições estabelecidas, buscando incansavelmente uma descrição objetiva e acionável do cenário de ameaças.
A atividade do LABYRINTH CHOLLIMA tem origem na estrutura de malware KorDLL (ativa entre 2009 e 2015), um repositório de código-fonte que contém modelos de implantes, protocolos de comando e controle (C2), bibliotecas para tarefas comuns e código para várias técnicas de ofuscação. Essa estrutura gerou várias famílias de malware que marcaram uma época, incluindo Dozer, Brambul, Joanap, KorDLL Bot e Koredos, e evoluiria para as estruturas Hawup e TwoPence usadas pelo LABYRINTH CHOLLIMA e STARDUST CHOLLIMA, respectivamente.
Três subgrupos operacionais surgiram da estrutura Hawup entre 2018 e 2020, cada um deles distinguindo-se por caminhos sustentados de desenvolvimento de malware, padrões de alvos e objetivos operacionais . Embora ocorra o compartilhamento de infraestrutura e ferramentas, as diferenças operacionais permitem rastrear esses grupos como adversários distintos, em vez de grupos especializados sob a égide do LABYRINTH CHOLLIMA . A proliferação dessas estruturas de malware no ecossistema cibernético da RPDC provavelmente reflete a coordenação entre a comunidade de inteligência ou o pessoal da RPDC, à medida que os adversários da RPDC compartilham TTPs e elementos de código bem-sucedidos.
A CrowdStrike Intelligence avalia que esses três grupos muito provavelmente operam como unidades organizacionais distintas dentro do aparato cibernético da RPDC. Essa avaliação é feita com alta confiança e apoiada pelo desenvolvimento especializado de malware, padrões de alvos distintos e diferenças no ritmo operacional.
Elementos de infraestrutura compartilhados e polinização cruzada de ferramentas indicam que essas unidades mantêm uma coordenação estreita. Todos os três adversários empregam técnicas notavelmente semelhantes — incluindo compromissos da cadeia de suprimentos, campanhas de engenharia social com tema de RH, software legítimo trojanizado e pacotes Node.js e Python maliciosos — que refletem suas origens comuns nas estruturas KorDLL e Hawup.
A segmentação do LABYRINTH CHOLLIMA em unidades operacionais especializadas representa uma evolução estratégica que aumenta a capacidade do regime da Coreia do Norte de perseguir simultaneamente vários objetivos.
A motivação financeira para as operações GOLDEN CHOLLIMA e PRESSURE CHOLLIMA provavelmente se intensificará à medida que as sanções internacionais continuarem a prejudicar a economia da RPDC. Apesar da melhoria nas relações comerciais com a Rússia, a RPDC precisa de receitas adicionais para financiar planos militares ambiciosos, que incluem a construção de novos contratorpedeiros, submarinos nucleares e o lançamento de satélites de reconhecimento adicionais.
Esses três adversários permanecem fundamentalmente interligados por meio de um DNA tático compartilhado e uma infraestrutura colaborativa. A polinização cruzada de ferramentas como o FudModule nas operações GOLDEN CHOLLIMA e LABYRINTH CHOLLIMA, combinada com as semelhanças de código das famílias de malware entre esses adversários, demonstra como eles continuam a operar como componentes de um aparato estratégico unificado, apesar de suas missões distintas.
As organizações nos setores de criptomoedas, fintech, defesa e logística devem praticar uma vigilância redobrada em relação às campanhas de engenharia social da RPDC, particularmente iscas com temas relacionados ao emprego e software legítimo trojanizado entregue por meio de plataformas de mensagens.
