EL GRUPO LAZARUS ADOPTA EL RANSOMWARE "MEDUSA" PARA ATACAR EL SECTOR SALUD Y ENTIDADES EN ORIENTE MEDIO
El equipo de cazadores de amenazas de Symantec y Carbon Black (pertenecientes a Broadcom) ha revelado un cambio táctico significativo en las operaciones del grupo de ciberespionaje Lazarus, vinculado a Corea del Norte. Según el informe técnico publicado recientemente, la organización criminal ha comenzado a utilizar el ransomware-as-a-service (RaaS) conocido como Medusa para perpetrar ataques en Oriente Medio y contra organizaciones sanitarias en Estados Unidos.
Un giro hacia el pragmatismo criminal
Históricamente, el grupo Lazarus (también identificado por investigadores como Diamond Sleet o Pompilus) se caracterizaba por desarrollar sus propias herramientas de cifrado, como las familias de malware Maui o SHATTEREDGLASS. Sin embargo, los analistas de Symantec señalan que la adopción de Medusa —un ransomware operado por el grupo cibercriminal Spearwing— demuestra una transición hacia el uso de software "comercial" ya existente.
Dick O’Brien, analista principal de inteligencia en Symantec, explicó que este movimiento responde a una cuestión de eficiencia: "¿Por qué molestarse en desarrollar su propio payload de ransomware cuando pueden usar una amenaza probada como Medusa o Qilin? Probablemente han decidido que los beneficios superan los costos de las tarifas de afiliación".
Ataques documentados
El informe destaca que Lazarus utilizó Medusa en un ataque contra una entidad no identificada en Oriente Medio. Paralelamente, se detectó un intento fallido contra una organización de salud en territorio estadounidense.
Desde noviembre de 2025, el sitio de filtraciones de Medusa ha registrado ataques contra cuatro organizaciones sin fines de lucro y de salud en EE. UU., incluyendo un centro de salud mental y una instalación educativa para niños con autismo. Aunque no se ha confirmado si todos estos ataques fueron obra directa de agentes norcoreanos, la coincidencia en los tiempos y las herramientas sugiere una fuerte implicación de sus afiliados.
Arsenal técnico detectado
A pesar de utilizar un ransomware externo, Lazarus continúa empleando su arsenal personalizado para mantener el control de las redes infiltradas. Entre las herramientas identificadas por Symantec y Carbon Black en estas campañas se encuentran:
Backdoors exclusivos: Como Comebacker y el troyano de acceso remoto BLINDINGCAN.
Robo de información: El malware InfoHook y la herramienta ChromeStealer, diseñada para extraer contraseñas del navegador.
Utilidades de red: RP_Proxy (un proxy personalizado) y la conocida herramienta de extracción de credenciales Mimikatz.
Sin escrúpulos ante sectores sensibles
A diferencia de otros grupos de cibercrimen que evitan atacar hospitales por temor a la presión internacional o por cuestiones éticas, el informe subraya que Lazarus no muestra tales restricciones. La demanda promedio de rescate identificada en este periodo asciende a los 260,000 dólares.
Este hallazgo de Broadcom confirma que la actividad de ciberdelincuencia de Corea del Norte sigue evolucionando, integrándose en el ecosistema global de ransomware para maximizar sus ingresos financieros de manera más rápida y efectiva.