Plausible Denial
Países / North Korea (DPRK)

Lazarus Group

Designación paraguas de la industria de inteligencia de amenazas para el grupo de actividad ciberoperativa atribuida en términos generales a la Oficina General de Reconocimiento de Corea del Norte. Se trata aquí como una entidad canónica por derecho propio — distinta del patrón institucional-de-unidad del resto del bestiario — porque la atribución institucional dentro de la RGB es genuinamente difusa entre la Bureau 121, el Lab 110, la Bureau 180, la Office 91 y subunidades adicionales, y porque "Lazarus" se ha convertido en el referente canónico en el registro forense, periodístico y de acusaciones judiciales de un modo que ninguna subunidad concreta de la RGB ha alcanzado.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

El Lazarus Group es la designación paraguas de la industria de inteligencia de amenazas para el grupo de actividad ciberoperativa atribuida en términos generales a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Es la única excepción en el bestiario de unidades cibernéticas de élite de este sitio a la convención editorial de tratar la unidad institucional como la entrada canónica y la etiqueta de la industria de inteligencia de amenazas como el alias. La razón es institucional: la arquitectura ciberoperativa interna de la RPDC es genuinamente difusa entre múltiples oficinas y bureaus subordinados — Bureau 121, Lab 110, Bureau 180, Office 91 y subunidades adicionales — y la atribución institucional de cualquier operación específica dentro de esa arquitectura generalmente no está nítidamente establecida en el registro público. Mientras que la Unit 26165 y la Unit 74455 del GRU son entidades institucionalmente distintas con direcciones públicamente atestiguadas y personal nombrado, las unidades equivalentes de la RPDC están menos nítidamente individualizadas en lo público, y la etiqueta "Lazarus Group" se ha convertido en el referente canónico en el registro forense, periodístico y de acusaciones judiciales de un modo que ninguna subunidad concreta de la RGB ha alcanzado.1

A lo largo de la industria de inteligencia de amenazas el grupo se rastrea bajo una proliferación sustancial de etiquetas de proveedores — Hidden Cobra (CISA de Estados Unidos), ZINC y posteriormente Diamond Sleet (Microsoft), Labyrinth Chollima (CrowdStrike) para el grupo principal; APT38 y Stardust Chollima y Bluenoroff (CrowdStrike) para el subgrupo centrado en el crimen financiero; APT37 y Reaper y ScarCruft (Microsoft: rastreado por separado) para el subgrupo de recolección de inteligencia centrado en Corea del Sur; APT43 y Kimsuky y Velvet Chollima y Black Banshee y ThalliumEmerald Sleet (Microsoft) para el subgrupo centrado en el ámbito académico y de think tanks. Si tratar estos subgrupos como entidades separadas o como especializaciones funcionales dentro de un paraguas Lazarus unificado es objeto de disputa entre las taxonomías de los proveedores. Véase APT designation para el contexto de las convenciones de nomenclatura.2

El propio nombre Lazarus deriva del consorcio de investigación Operation Blockbuster de Novetta Solutions de 2016 — un esfuerzo conjunto de investigación en seguridad liderado por Novetta con la participación de Kaspersky Lab, AlienVault, Symantec, Invincea y varias firmas adicionales — que produjo la primera gran síntesis técnica pública de las herramientas, la infraestructura y la historia operativa del grupo. El nombre fue elegido por la práctica documentada del grupo de resucitar viejas familias de herramientas y artes operativas para su uso en nuevas operaciones a lo largo de un extenso periodo operativo.3

Historia y orígenes

La huella operativa públicamente atestiguada de Lazarus comienza aproximadamente en 2009 con la serie de intrusiones y operaciones de denegación de servicio Operation Troy contra objetivos gubernamentales, financieros y mediáticos surcoreanos — operaciones que posteriormente fueron reconstruidas por el consorcio Operation Blockbuster como el registro operativo fundacional del grupo Lazarus. La atribución institucional al aparato cibernético de la era de la RGB de la RPDC se apoya en el linaje de herramientas operativas, el patrón operativo de selección de objetivos, el análisis de las horas de trabajo de los operadores (consistentes con la zona horaria de Pionyang), los artefactos operativos de adquisición de lenguaje en las herramientas y, en última instancia, en las declaraciones de atribución y las posteriores acusaciones del Gobierno de Estados Unidos.4

Huella operativa (documentada)

La huella operativa documentada del grupo Lazarus es la más extensa de cualquier actor cibernético atribuido a la RPDC y constituye sustancialmente la totalidad de la historia ciberoperativa atribuida a la RPDC:

Operation Troy y las campañas surcoreanas de 2009–2013. El registro operativo fundacional de Lazarus: operaciones sostenidas de denegación de servicio contra objetivos gubernamentales y del sector financiero surcoreanos (los ataques de julio de 2009 contra aproximadamente 35 sitios web gubernamentales surcoreanos y estadounidenses), los ataques destructivos DarkSeoul de marzo de 2013 contra organizaciones bancarias y mediáticas surcoreanas (que borraron aproximadamente 32.000 sistemas en las instituciones afectadas) y los ataques de seguimiento posteriores de abril de 2013. Reconstruidos en el informe conjunto de investigación de Operation Blockbuster y en las posteriores evaluaciones públicas sucesivas del Servicio Nacional de Inteligencia de Corea del Sur.5

La intrusión de 2014 en Sony Pictures Entertainment. La intrusión y operación destructiva de noviembre de 2014 contra Sony Pictures Entertainment en represalia por el estreno planeado por el estudio de The Interview. Atribución del Federal Bureau of Investigation de Estados Unidos a Corea del Norte en diciembre de 2014; acusación del Departamento de Justicia de Estados Unidos contra Park Jin-Hyok en septiembre de 2018 nombrando específicamente la intrusión en Sony como una de las operaciones.6

El atraco al Bangladesh Bank en 2016. La intrusión de febrero de 2016 en la infraestructura del sistema SWIFT del Bangladesh Bank y el intento de exfiltración de aproximadamente 951 millones de dólares mediante mensajes SWIFT fraudulentos al Federal Reserve Bank de Nueva York. Aproximadamente 81 millones de dólares fueron transferidos con éxito a cuentas bancarias filipinas antes de que la operación fuera interrumpida; la mayor parte de la suma interrumpida fue recuperada. La operación es el caso de crimen financiero canónicamente documentado de Lazarus y el caso fundacional para la designación del subgrupo APT38. Atribución del Departamento de Justicia de Estados Unidos en la acusación de septiembre de 2018.7

El brote de ransomware WannaCry de 2017. El brote global de ransomware del 12 de mayo de 2017 — utilizando el exploit EternalBlue filtrado de la NSA para el movimiento lateral, que afectó a aproximadamente 200.000 sistemas en 150 países, incluidos el Servicio Nacional de Salud del Reino Unido, el operador español de telecomunicaciones Telefónica, el fabricante francés de automóviles Renault y una población sustancial de víctimas adicionales. Atribución conjunta de los gobiernos de Estados Unidos y el Reino Unido a Corea del Norte en diciembre de 2017.8

Operaciones sostenidas contra intercambios de criptomonedas (2017 en adelante). Operaciones sostenidas contra la infraestructura internacional de intercambios de criptomonedas a lo largo del periodo posterior a 2017, generando aproximadamente varios miles de millones de dólares estadounidenses en ingresos ilícitos. Las principales operaciones documentadas incluyen: el robo de Coincheck en 2018 (~534M$), el robo de Bithumb en 2018 (~31M$), el robo de KuCoin en 2020 (~281M$), el robo de Ronin Network en 2022 (~625M$, el mayor robo a un intercambio de criptomonedas de la historia), el robo de Harmony Bridge en 2022 (~100M$) y el robo de Atomic Wallet en 2023 (~100M$). El programa de robo de criptomonedas se reconstruye en los sucesivos Crypto Crime Reports anuales de Chainalysis, los informes anuales del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas y las designaciones de sanciones de la Office of Foreign Assets Control del Departamento del Tesoro.9

Operaciones sostenidas de recolección de inteligencia contra objetivos de Estados Unidos, Corea del Sur y Japón. A lo largo del periodo posterior a 2010 los subgrupos APT37 / Reaper y APT43 / Kimsuky han llevado a cabo recolección sostenida contra objetivos de la industria de defensa, gubernamentales, académicos y de think tanks en los Estados afectados — centrada sustancialmente en comunidades académicas y de política que trabajan sobre cuestiones relacionadas con la RPDC, en investigación relacionada con el desarrollo de misiles y armamento nuclear, y en programas de seguimiento de sanciones.10

Operaciones de ransomware contra la infraestructura sanitaria de Estados Unidos (2020–2024). La acusación de agosto de 2024 del DOJ de Estados Unidos contra Rim Jong Hyok nombró específicamente operaciones de ransomware atribuidas a Lazarus contra hospitales e infraestructura sanitaria de Estados Unidos a lo largo del periodo de la COVID-19 y posteriormente, incluido el ataque de ransomware de mayo de 2021 contra un hospital de Kansas que interrumpió las operaciones de atención al paciente.11

Atribución y estado

Las designaciones de sanciones del Departamento del Tesoro de Estados Unidos de septiembre de 2019 contra tres entidades del subgrupo Lazarus — Lazarus Group, Bluenoroff (el subgrupo de crimen financiero, ampliamente equivalente a APT38) y Andariel (el subgrupo de operaciones destructivas) — bajo la Executive Order 13722 representaron la primera designación de sanciones contra elementos cibernéticos de la RPDC por nombre. Las designaciones de septiembre de 2019 atribuyen específicamente las entidades nombradas a "la Oficina General de Reconocimiento."12

El estado institucional de Lazarus como actor de amenazas públicamente nombrado está establecido en los informes del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas, las acusaciones del DOJ de Estados Unidos (septiembre de 2018, febrero de 2021, agosto de 2024), las designaciones de sanciones de OFAC del Tesoro (múltiples) y las declaraciones conjuntas de atribución de los Five Eyes. El grupo es el actor cibernético atribuido a la RPDC más extensamente documentado públicamente.13

Véase también

  • Oficina General de Reconocimiento — servicio matriz (atribución paraguas)
  • Bureau 121 — una subunidad de la RGB públicamente atestiguada; entrada hermana de esta en el bestiario
  • APT designation — el contexto de las convenciones de nomenclatura, incluida la discusión específica del caso de excepción Lazarus
  • NSA TAO — origen del exploit EternalBlue convertido en arma en el brote de WannaCry
  • NotPetya — la operación de la GRU Unit 74455 que convirtió en arma EternalBlue seis semanas después de WannaCry

Fuentes y lecturas adicionales

  1. Departamento del Tesoro de Estados Unidos, Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups (13 de septiembre de 2019) — las designaciones de sanciones que establecieron Lazarus / Bluenoroff / Andariel como entidades públicamente nombradas; acusación del DOJ de Estados Unidos contra Park Jin-Hyok, op. cit. (septiembre de 2018); informes anuales del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas.
  2. Convención de nomenclatura de Microsoft Threat Intelligence, incluida la familia Sleet para los grupos atribuidos a la RPDC; serie Global Threat Report de CrowdStrike para la familia Chollima; informes técnicos de Mandiant sobre APT38, APT37, APT43.
  3. Novetta Solutions, Operation Blockbuster informe conjunto de investigación (febrero de 2016) — la síntesis técnica pública original del grupo Lazarus.
  4. Operation Blockbuster, op. cit.; análisis técnicos contemporáneos y posteriores de Kaspersky Lab y Symantec.
  5. Operation Blockbuster, op. cit.; evaluaciones públicas del Servicio Nacional de Inteligencia de Corea del Sur (plurianuales).
  6. Declaración del FBI sobre la investigación de Sony Pictures, op. cit. (diciembre de 2014); United States v. Park Jin-Hyok, acusación (septiembre de 2018).
  7. United States v. Park Jin-Hyok, op. cit.; Comité de Pagos e Infraestructuras de Mercado del Banco de Pagos Internacionales, Cyber resilience in financial market infrastructures (junio de 2018) — análisis institucional de la operación del Bangladesh Bank y la clase de intrusiones al sistema SWIFT.
  8. Atribución conjunta UK-US del NCSC del Reino Unido de WannaCry a Corea del Norte (19 de diciembre de 2017).
  9. Chainalysis, serie anual Crypto Crime Report (2018–2024); informes anuales del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas (op. cit.); designaciones de sanciones de OFAC del Departamento del Tesoro contra la infraestructura de mezcladores de criptomonedas afiliada a Lazarus (Tornado Cash agosto de 2022; Sinbad noviembre de 2023).
  10. Mandiant, APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations (marzo de 2023); informe técnico de FireEye / Mandiant APT37 — The Reaper Group (febrero de 2018); investigación de Trend Micro sobre grupos de selección de objetivos académicos de la RPDC (plurianual).
  11. United States v. Rim Jong Hyok, op. cit. (agosto de 2024).
  12. Departamento del Tesoro, Treasury Sanctions, op. cit.
  13. Acusaciones del DOJ (plurianuales); designaciones de sanciones de OFAC del Tesoro (plurianuales); informes del Panel de Expertos de las Naciones Unidas (op. cit.); Andy Greenberg, Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency (Doubleday, 2022), capítulo sobre el programa de robo de criptomonedas de Lazarus.