Se ha descubierto que actores del DPRK-nexus han utilizado un instalador de una herramienta posiblemente empleada por el Departamento Consular de Rusia, para entregar un troyano de acceso remoto conocido como Konni RAT (también llamado UpDog). DCSO, una compañía alemana de ciberseguridad, ha atribuido la actividad a este grupo dirigido a Rusia. El grupo Konni (también conocido como Opal Sleet, Osmium o TA406) ha sido previamente vinculado con ataques a entidades rusas y ataques dirigidos contra el MID desde al menos octubre de 2021.
El troyano Konni RAT ha sido empaquetado en instaladores de software que se entregan por ejemplo para presentar declaraciones de impuestos o informes anuales. En esta ocasión, el archivo MSI que se inyecta con el troyano se refiere a una herramienta que se utiliza internamente en el Ministerio de Asuntos Exteriores de Rusia para transmitir informes anuales y está diseñado específicamente para su uso en el Departamento Consular del MID. El troyano de acceso remoto tiene capacidades de transferencia de archivos y ejecución de comandos. Se cree que ha sido utilizado desde 2014 y también ha sido utilizado por otros actores de amenazas norcoreanos conocidos como Kimsuky y ScarCruft (también conocidos como APT37).
Aunque no está claro cómo los actores de amenazas obtuvieron el instalador, se sospecha que la larga historia de operaciones de espionaje dirigidas a Rusia pudo haberlos ayudado a identificar herramientas prospectivas para ataques posteriores.
El hallazgo se produce en medio de una creciente proximidad geopolítica entre Corea del Norte y Rusia, aunque los expertos en ciberseguridad afirman que esto no debería sorprender dado que el país norcoreano tiene la necesidad continua de evaluar y verificar la planificación y los objetivos de la política exterior de Rusia.
En resumen, un troyano de acceso remoto Konni RAT ha sido entregado a través de un instalador de software, afectando a la herramienta Statistika KZU que se utiliza internamente en el Ministerio de Asuntos Exteriores de Rusia. El grupo responsable, Konni, ha sido vinculado previamente a ataques en Rusia y ha sido utilizado por otros actores de amenazas norcoreanos. El motivo del ataque no está claro, pero se presume que los actores de amenazas pudieron identificar la herramienta para ataques posteriores debido a la larga historia de operaciones de espionaje dirigidas a Rusia. Esto ocurre en medio de una creciente proximidad geopolítica entre Corea del Norte y Rusia, y los expertos sugieren que esto no debería sorprender dado que Corea del Norte tiene la necesidad continua de evaluar y verificar la planificación y objetivos de la política exterior de Rusia. La palabra clave principal para SEO en este artículo puede ser «Konni RAT«.
Vía The Hacker News
