holyghost

Perfil del Actor

holyghost (reconocido por Microsoft como DEV-0530) es un grupo de amenaza relacionado con Corea del Norte, activo desde junio de 2021. Está vinculado al grupo Andariel, y se enfoca en atacar a pequeñas y medianas empresas en sectores como servicios financieros, manufactura, educación y entretenimiento a nivel global.

Origen y Motivación

El grupo está asociado con actividades de ciberdelincuencia estatal en Corea del Norte. Su motivación principal parece estar relacionada con el robo de información y la extorsión financiera mediante ransomware, aunque no se han confirmado detalles específicos sobre sus objetivos geopolíticos.

Técnicas y Tacticas (TTPs)

Se desconoce con precisión las técnicas operativas del grupo, pero su enfoque parece centrarse en la inyección de ransomware en entornos corporativos a través de vectores como correos electrónicos maliciosos o vulnerabilidades en sistemas desactualizados. La asociación con Andariel sugiere una metodología similar a la de otros grupos de ciberdelincuencia estatal.

Campanas Conocidas

Se ha documentado una campaña vinculada al grupo, con un servidor C2 asociado al dominio matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion, probablemente utilizado para comunicarse con máquinas infectadas durante ataques.

Objetivos y Víctimas

El grupo apunta a empresas de tamaño medio en sectores críticos, con un objetivo principal de obtener datos sensibles o demandar pagos en criptomoneda. No se han identificado víctimas específicas públicamente, aunque sus operaciones afectan a múltiples países.

Indicadores de Compromiso (IOCs)

Detección y Defensa

Se recomienda monitorear dominios sospechosos, implementar soluciones de detección avanzada (EDR) y mantener sistemas actualizados. Las empresas deben revisar sus redes para identificar señales de actividad anómala en sectores críticos, especialmente si se detectan dominios similares a los asociados con este grupo.