Según la NPA, se trata del primer ciberataque sincronizado lanzado por estos tres grupos (Lazarus, Andariel y Kimsuky) contra entidades relacionadas con armamento que ha podido confirmarse hasta el momento.
La investigación policial reveló que desde noviembre de 2022 Lazarus ha pirateado el servidor externo de una de las empresas afectadas e implantó código malicioso, con lo que finalmente tomó el control de la intranet de la empresa y transfirió datos clave desde seis ordenadores de la compañía a un servidor en la nube con sede en el extranjero, según indicó la NPA en una rueda de prensa
Por su parte, Andariel estuvo extrayendo datos de tecnologías de otra empresa de defensa desde octubre de 2022 al obtener información sobre correos electrónicos y contraseñas de una tercera empresa responsable del mantenimiento remoto de sistemas para la compañía afectada.
Kimsuky también accedió ilegalmente a servidores de correo electrónico de otra empresa de defensa y descargó datos tecnológicos entre abril y julio del año pasado, según la NPA.
La policía ha podido ligar los ataques a estos tres grupos a partir de direcciones IP, el código empleado y los métodos para aprovechar los puntos vulnerables de los programas informáticos.
Algunas de las direcciones IP corresponden a la ciudad nororiental china de Shenyang -conocida por albergar a muchos piratas que trabajan para estos grupos- y fueron identificadas como las mismas empleadas en el ciberataque de 2014 contra la operadora estatal de plantas hidroeléctricas y nucleares de Corea del Sur, Korea Hydro & Nuclear Power.
La NPA asegura que los ataques han continuado hasta hace poco, que las empresas no estaban al corriente de los ataques hasta que arrancó la investigación y que no se puede estimar de momento el alcance del daño.
La policía surcoreana tampoco ha querido compartir el tipo de tecnología que ha podido quedar comprometida por motivos de confidencialidad y ha dicho que el Ministerio de Defensa Nacional y la Administración del Programa de Adquisición de Defensa (DAPA) continuarán las pesquisas.