Se ha observado que el actor de amenazas norcoreano rastreado como Kimsuky implementa un malware basado en Golang previamente indocumentado denominado Durián como parte de ataques cibernéticos altamente dirigidos a empresas de criptomonedas de Corea del Sur.
«Durian cuenta con una completa funcionalidad de puerta trasera, que permite la ejecución de comandos entregados, descargas de archivos adicionales y exfiltración de archivos», Kaspersky dicho en su informe de tendencias APT para el primer trimestre de 2024.
Los ataques, que ocurrieron en agosto y noviembre de 2023, implicaron el uso de software legítimo exclusivo de Corea del Sur como vía de infección, aunque el mecanismo preciso utilizado para manipular el programa no está claro actualmente.
Lo que se sabe es que el software establece una conexión con el servidor del atacante, lo que lleva a la recuperación de una carga útil maliciosa que inicia la secuencia de infección.
En la primera etapa sirve como instalador de malware adicional y como medio para establecer persistencia en el host. También allana el camino para un cargador de malware que eventualmente ejecuta Durian.
Durian, por su parte, se emplea para introducir más malware, incluido semilla de manzanala puerta trasera básica elegida por Kimsuky, una herramienta proxy personalizada conocida como LazyLoad, así como otras herramientas legítimas como ngrok y Chrome Remote Desktop.
«Al final, el actor implantó el malware para robar datos almacenados en el navegador, incluidas cookies y credenciales de inicio de sesión», dijo Kaspersky.
Un aspecto notable del ataque es el uso de LazyLoad, que Andariel, un subgrupo dentro del Grupo Lazarus, utilizó anteriormente, lo que plantea la posibilidad de una posible colaboración o una superposición táctica entre los dos actores de la amenaza.
Se sabe que el grupo Kimsuky está activo desde al menos 2012, con sus actividades cibernéticas maliciosas también APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 y Velvet Chollima.
Se considera un elemento subordinado al 63º Centro de Investigación, un elemento dentro de la Oficina General de Reconocimiento (RGB), la principal organización de inteligencia militar del reino ermitaño.
«La misión principal de los actores de Kimsuky es proporcionar datos robados y conocimientos geopolíticos valiosos al régimen norcoreano comprometiendo a analistas políticos y otros expertos», dijeron el Buró Federal de Investigaciones (FBI) de Estados Unidos y la Agencia de Seguridad Nacional (NSA) de Estados Unidos. dicho en una alerta a principios de este mes.
«Los compromisos exitosos permiten además a los actores de Kimsuky crear correos electrónicos de phishing más creíbles y efectivos, que luego pueden aprovecharse contra objetivos más sensibles y de mayor valor».
El adversario del estado-nación también ha sido vinculado a campañas que entregan un troyano de acceso remoto basado en C# y un ladrón de información llamado TutorialRAT que utiliza Dropbox como «base para sus ataques para evadir el monitoreo de amenazas», afirmó Symantec, propiedad de Broadcom. dicho.
«Esta campaña parece ser una extensión de la de APT43. Campaña de amenaza BabyShark y emplea técnicas típicas de phishing, incluido el uso de archivos de acceso directo (LNK)», añadió.
El desarrollo se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detalló una campaña orquestada por otro grupo de piratería patrocinado por el estado de Corea del Norte llamado ScarCruft que está dirigido a usuarios surcoreanos con archivos de acceso directo de Windows (LNK) que culminan en la implementación de RokRAT.
Se dice que el colectivo adversario, también conocido como APT37, InkySquid, RedEyes, Ricochet Chollima y Ruby Sleet, es alineado con el Ministerio de Seguridad del Estado (MSS) de Corea del Norte y tiene la tarea de recopilar inteligencia encubierta en apoyo de los intereses militares, políticos y económicos estratégicos de la nación.
«Se ha descubierto que los archivos de acceso directo recientemente confirmados (*.LNK) están dirigidos a usuarios surcoreanos, particularmente aquellos relacionados con Corea del Norte», ASEC dicho.