Un reciente informe de Symantec revela que el grupo Kimsuky, vinculado a la Oficina General de Reconocimiento de Corea del Norte, ha sido observado utilizando una variante de su puerta trasera GoBear, llamada Gomir, en una campaña dirigida a organizaciones surcoreanas. Gomir comparte gran parte de su código con GoBear, pero con modificaciones sustanciales para eludir la funcionalidad del sistema operativo. Esta nueva variante está diseñada para ejecutar 17 comandos diferentes, lo que brinda a los operadores capacidades como operaciones de archivo, inicio de un proxy inverso, pausa de comunicaciones de comando y control, ejecución de comandos de shell y terminación de su propio proceso.
La aparición inicial de la puerta trasera GoBear se relacionó con una campaña que introdujo un malware llamado Troll Stealer, que se superpone con varias familias de malware conocidas de Kimsuky. El malware Troll Stealer se distribuye mediante programas de seguridad troyanizados descargados desde el sitio web de una asociación surcoreana no especificada. Además, los nombres de funciones de GoBear están estrechamente relacionados con una puerta trasera anterior, BetaSeed, lo que sugiere un origen común de ambas amenazas, conectando las actividades del grupo a lo largo del tiempo.
Es relevante destacar que el malware Troll Stealer también se distribuye a través de instaladores falsos para Wizvera VeraPort, y se sospecha que el mecanismo exacto de distribución de los paquetes de instalación aún no se conoce completamente.
El uso de este tipo de malware por parte de Kimsuky sugiere que la distribución de software y las actualizaciones se cuentan entre los vectores de infección preferidos por los actores de espionaje norcoreanos. Asimismo, la selección cuidadosa del software objetivo sugiere una estrategia para maximizar la infección de los objetivos surcoreanos. Esta información subraya la importancia de estar alerta y fortalecer la ciberseguridad, especialmente para las organizaciones en riesgo.
Vía The Hacker News
