Pesquisas da CrowdStrike indicam que o grupo de cibercriminosos norte-coreanos LABYRINTH CHOLLIMA se desdobrou em três grupos independentes. Eles compartilham ferramentas, mas atuam em áreas distintas: roubos de criptomoedas, espionagem e geração de receita por fraudes.
O grupo GOLDEN CHOLLIMA foca em atividades financeiras e ataques a países com forte presença em criptoativos. Já o PRESSURE CHOLLIMA realiza grandes roubos de criptomoedas. O grupo original LABYRINTH CHOLLIMA mantém ataques de espionagem a setores industriais e de defesa.
Essa segmentação fortalece a capacidade da Coreia do Norte para ações simultâneas em segurança digital e finanças. O alerta da CrowdStrike reforça a necessidade de proteção contra malwares sofisticados e técnicas de infiltração, como campanhas falsas de recrutamento.
Pesquisas recentes da CrowdStrike revelaram que o cibercrime norte-coreano, anteriormente vinculado ao grupo LABYRINTH CHOLLIMA, na verdade se desdobrou em três grupos distintos. Esses subgrupos, embora compartilhem origens e algumas ferramentas, agem de forma independente, segmentando operações entre roubos de criptomoedas, espionagem e geração constante de receita.
O primeiro grupo, GOLDEN CHOLLIMA, tem foco em atividades financeiras e tecnologia, mirando países com forte presença em criptoativos, como Estados Unidos e Europa Ocidental. Eles utilizam malwares, por exemplo, o AppleJeus, e processos de fraude para obter ganhos menores, porém contínuos, explorando ambientes na nuvem e vulnerabilidades em navegadores como o Chromium.
Já o PRESSURE CHOLLIMA é conhecido pelos grandes roubos, tendo protagonizado os maiores golpes em criptomoedas atribuídos à Coreia do Norte. Adotam técnicas avançadas com malwares raros e dirigem ataques a qualquer alvo com ativos digitais expressivos, independentemente da localização.
O grupo original, LABYRINTH CHOLLIMA, mantém foco em espionagem, direcionando seus ataques a setores industriais e de defesa nos Estados Unidos, Europa e Ásia. Utilizam métodos sofisticados, incluindo manipulação do kernel do sistema operacional, ataques com vulnerabilidades zero-day e campanhas de engenharia social via WhatsApp.
Apesar da independência, esses grupos compartilham infraestrutura e algumas ferramentas, demonstrando uma organização coordenada. Essa segmentação amplia a capacidade da Coreia do Norte em ações simultâneas para obter lucros e informações estratégicas, especialmente em setores como fintech, defesa e logística.
O relatório da CrowdStrike alerta para a necessidade de medidas de segurança reforçadas frente a técnicas como software trojanizado e campanhas falsas de recrutamento, que são utilizadas para infiltrar malwares.
Via TecMundo
