Siempre que se habla de espionaje en Internet o de ciberataques, es complicado no pensar en Corea del Norte. De hecho, se analizaron incluso los ventiladores USB de la cumbre de EEUU y Corea del Norte del verano pasado. Son varias las campañas de espionaje de Corea del Norte, como Operation GhostSecret, e incluso se les acusa de estar detrás de WannaCry, el gran ataque que infectó 300,000 ordenadores en 150 países diferentes. Ahora, se ha empezado a alertar sobre Electricfish, el nuevo virus para Windows creado por Corea del Norte.
El FBI (Federal Bureau of Investigation) y el DHS (U.S. Department of Homeland Security) han publicado todos los detalles de un nuevo malware bautizado como Electricfish que está siendo utilizado por el grupo coreano Lazarus para espiar y robar datos personales de ordenadores con Windows. Según los datos publicados por estas dos organizaciones, el virus fue detectado mientras se controlaba la actividad del grupo hacker HIDDEN COBRA, conocido también con otros nombres como Lazarus, Guardians of Peace, ZINC o NICKEL ACADEMY.
Electricfish: nuevo virus para Windows creado por Corea del Norte
Este nuevo virus detectado por Estados Unidos y creado por Corea del Norte, se presenta en forma de ejecutable de 32 bit para Windows. Este “implementa un protocolo personalizado que permite que el tráfico se canalice entre una dirección IP de origen y una de destino”. Gracias a esto, permite tomar el control del ordenador y acceder al mismo para espiar o robar datos personales.
El malware puede ser configurado por los hackers de Lazarus con un servidor proxy y un puerto o con un servidor proxy y un usuario y contraseña. Esto permite conectar a un servidor que a su vez permite saltarse las defensas del sistema y todas las medidas de seguridad. Una vez se ha saltado todo esto, Electricfish establece una conexión con una IP remota.
Cuando ha establecido una conexión entre la IP de origen y la IP de destino, el virus Electricfish puede “sacar” información del ordenador infectado sin problemas y enviarla a los servidores que ellos controlan. Debido a que se han saltado las medidas de seguridad, el usuario no es capaz de saber lo que está ocurriendo.
Corea del Norte sigue en el ojo del huracán por parte de Estados Unidos y otros países de occidente en el terreno de los ciberataques y el espionaje. Desde hace años se intentan seguir los pasos de los grupos hacker que, con apoyo gubernamental, lanzan herramientas como la que acabamos de conocer.