En färsk rapport från cybersäkerhetsforskare på Proofpoint visar hotaktören TA427 börjat använda nya och sofistikerade taktiker för att lura mottagare. TA427 har kopplingar till den nordkoreanska statsapparaten och är en av de mest aktiva statligt sponsrade hotaktörerna för tillfället.
Sedan förra året har TA427 primärt riktat in sig på olika utrikespolitiska experter och bett om deras åsikter om kärnvapennedrustning, politik och sanktionsämnen via e-postmeddelanden – och under en lång tid försökt bygga förtroendet. Under de senaste månaderna har denna aktivitet stadigt ökat – men också skiftat form.
I december 2023 började man utnyttja säkerhetshål och avsaknad av epostskydd som DMARC för att förfalska olika personas. I februari 2024 började man också använda sig av så kallade webbfyrar, en teknik för att spåra aktivitet på sajter och i epost.
Webbfyrar har sannolikt använts för att bland annat få grundläggande information om mottagarnas nätverksmiljöer, inklusive IP-adresser och tidpunkten då användaren öppnade e-postmeddelandet.
Genom detta förfarande kan TA427 kartlägga sina måltavlor mer effektivt, exempelvis för att dela mer relevant innehåll – som anpassas för varje mottagare för att bygga upp förtroende. Skadlig programvara eller insamling av autentiseringsuppgifter skickas aldrig i ett första skede utan dyker först upp efter flertalet meddelanden.
Innehållet inkluderar ofta inbjudningar att delta i evenemang om Nordkoreas politik angående internationella angelägenheter, huruvida ett kärnvapenprogram utvecklas i Nordkorea eller om kärnvapen skulle vara används i en potentiell kinesisk konflikt med Taiwan.
Målet är att ge den nordkoreanska underrättelsetjänsten information om utrikespolitiska förhandlingstaktiker.