Microsoft ha monitorato per mesi le attività online degli hacker coreani H0lyGh0st, che avrebbero compromesso i sistemi software di numerose piccole e medi imprese, fin da settembre 2021. Al centro del loro operato l'invio di ransomware per infettare le infrastrutture delle pmi e chiedere riscatti sotto forma di bitcoin. Il team di criminali, chiamato da Microsoft con il nome in codice Dev-0530, sembra collegato ad un altro gruppo della Corea del Nord, DarkSeoul, resosi famoso per aver attacco con successo aziende internazionali già dal 2013. Il Microsoft Threat Intelligence Center ha osservato account di posta elettronica di H0lyGh0st che comunicano con indirizzi connessi a Plutonium, altro nome con cui sono conosciuti i DarkSeoul.
"Entrambi i gruppi operano dallo stesso set di infrastrutture e con righe di codice di malware personalizzati con gli stessi nomi" spiega la divisione specializzata di Microsoft. Il gigante della tecnologia ha notato che le attività criminali sono riconducibili al fuso orario in vigore in Corea del Nord, con il governo di Pyongyang che potrebbe appoggiarne le operazioni, per compensare le battute d'arresto economiche causate dal blocco del Covid-19.
"Ovviamente resta la pista di gruppi che sfruttano il ransomware per guadagno personale, il che potrebbe spiegare una selezione spesso casuale delle vittime". Il ransomware H0lyGh0st è formato da due famiglie di malware, ovvero SiennaPurple e SiennaBlue, entrambi utilizzati negli attacchi di Dev-0530 contro i sistemi Windows.
