Los vínculos con Corea del Norte Grupo Lázaro (también conocido como Diamond Sleet y Pompilus) ha sido observado utilizando el ransomware Medusa en un ataque dirigido a una entidad anónima en el Medio Oriente, según un nuevo informe de Symantec y Carbon Black Threat Hunter Team.
La división de inteligencia de amenazas de Broadcom dijo que también identificó a los mismos actores de amenazas que montaron un ataque fallido contra una organización de atención médica en los EE. UU. Medusa es una operación de ransomware como servicio (RaaS) lanzada por un grupo de cibercrimen conocido como Spearwing en 2023. El grupo ha reclamado más de 366 ataques hasta la fecha.
«El análisis del sitio de fuga de Medusa revela ataques contra cuatro organizaciones sanitarias y sin fines de lucro en EE.UU. desde principios de noviembre de 2025», afirma la empresa. dicho en un informe compartido con The Hacker News.
«Las víctimas incluyeron una organización sin fines de lucro en el sector de la salud mental y un centro educativo para niños autistas. Se desconoce si todas estas víctimas fueron objetivo de agentes norcoreanos o si otras filiales de Medusa fueron responsables de algunos de estos ataques. La demanda promedio de rescate en ese período fue de 260.000 dólares».
El uso de ransomware por parte de grupos de hackers norcoreanos no carece de precedentes. Ya en 2021, se observó que un subgrupo de Lazarus denominado Andariel (también conocido como Stonefly) atacaba a entidades en Corea del Sur, Japón y EE. UU. con familias de ransomware personalizadas como SHATTEREDGLASS, Maui y H0lyGh0st.
Luego, en octubre de 2024, el equipo de hackers también fue vinculado a un ataque de ransomware Play, lo que marcó la transición a un casillero disponible para cifrar los sistemas de las víctimas y exigir un rescate.
Dicho esto, Andariel no es el único que pasa del ransomware personalizado a una variante ya disponible. El año pasado, Bitdefender reveló que otro actor de amenazas norcoreano rastreado como Moonstone Sleet, que anteriormente lanzó una familia de ransomware personalizado llamada FakePenny, probablemente había atacado a varias empresas financieras de Corea del Sur con el ransomware Qilin.
Estos cambios posiblemente indiquen un cambio táctico entre los grupos de hackers norcoreanos, donde operan como afiliados de grupos RaaS establecidos en lugar de desarrollar sus herramientas, dijo la compañía a The Hacker News.
«Lo más probable es que la motivación sea pragmatismo», dijo Dick O’Brien, analista principal de inteligencia de Symantec y Carbon Black Threat Hunter Team. «¿Por qué tomarse la molestia de desarrollar su propia carga útil de ransomware cuando puede utilizar una amenaza probada como Medusa o Qilin? Es posible que hayan decidido que los beneficios superan los costos en términos de tarifas de afiliados».
La campaña de ransomware Medusa del Grupo Lazarus incluye el uso de varias herramientas:
- RP_Proxyuna utilidad de proxy personalizada
- Mimikatzun programa de volcado de credenciales disponible públicamente
- Regresadoruna puerta trasera personalizada utilizada exclusivamente por el actor de amenazas
- InfoHookun ladrón de información previamente identificado como utilizado junto con Comebacker
- CEGADORA (también conocido como AIRDRY o ZetaNile), un troyano de acceso remoto
- ChromeStealeruna herramienta para extraer contraseñas almacenadas del navegador Chrome
La actividad no ha sido vinculada a ningún subgrupo específico de Lazarus, a pesar de que los ataques de extorsión reflejan ataques anteriores de Andariel.
«El cambio a Medusa demuestra que la participación rapaz de Corea del Norte en el cibercrimen continúa sin disminuir», dijo la compañía. «Los actores norcoreanos parecen tener pocos escrúpulos a la hora de atacar a organizaciones en Estados Unidos. Mientras que algunas organizaciones de cibercrimen afirman evitar atacar a organizaciones sanitarias debido al daño a su reputación que puede generar, Lazaurs no parece estar limitado de ninguna manera».
