La empresa de ciberseguridad S2W ha descubierto un nuevo malware, denominado Troll Stealer, que presume ha sido utilizado por el actor estatal norcoreano Kimsuky para robar información delicada de sistemas. Según S2W, Troll Stealer puede extraer archivos y directorios de C, datos del sistema, capturas de pantalla y navegadores. Estos nuevos hallazgos sugieren que Kimsuky está intensificando sus esfuerzos para obtener información confidencial a través de ciberataques ofensivos.
El origen de Troll Stealer se relaciona con familias de malware previamente atribuidas a Kimsuky, incluyendo AppleSeed y AlphaSeed. También es importante destacar que en noviembre de 2023, la Oficina del Tesoro de los Estados Unidos (OFAC) sancionó a Kimsuky por intentar reunir información para lograr los objetivos estratégicos de Corea del Norte.
El análisis de S2W muestra que Troll Stealer se presenta como una aplicación legítima de instalación de programas de seguridad llamada SGA Solutions. La firma del software es auténtica, lo que sugiere que la certificación fue robada a la empresa D2Innovation Co., LTD.
Troll Stealer tiene la capacidad de extraer la carpeta de seguridad GPKI, lo que indica que el malware podría apuntar a organizaciones públicas y administrativas. No se tiene registro de la implementación de esta técnica por parte de Kimsuky antes, por lo que podría ser el trabajo de otro actor asociado con ellos.
En otro orden de ideas, S2W ha hallado similitudes en las funciones y comandos de BetaSeed, un malware C++ utilizado previamente por Kimsuky, y GoBear. Además, GoBear tiene funcionalidades de proxy SOCKS5 que antes no se habían implementado en el malware utilizado por Kimsuky.
Vía The Hacker News
