El grupo norcoreano Kimsuky ha sido identificado como el responsable de desplegar un nuevo malware llamado Durian, detectado por primera vez en ciberataques dirigidos a dos empresas de criptomonedas en Corea del Sur.
Durian es una puerta trasera multifuncional que permite la ejecución de comandos, descargas y exfiltración de archivos, según un informe de Kaspersky sobre tendencias de APT en el primer trimestre de 2024.
Los ataques, que ocurrieron en agosto y noviembre de 2023, involucraron el uso de software legítimo exclusivo de Corea del Sur para la infección.
Aunque el mecanismo exacto no está claro, Durian establece una conexión con el servidor del atacante para la recuperación de una carga maliciosa que inicia la secuencia de infección.
Durian se encarga de introducir más malware, incluido AppleSeed, LazyLoad, ngrok y Chrome Remote Desktop, utilizado para robar datos del navegador, como cookies y credenciales de inicio de sesión.
Un detalle relevante es el uso de LazyLoad, previamente asociado a Andariel, un subgrupo del Grupo Lazarus, planteando la posibilidad de colaboración táctica entre los dos actores de amenazas.
Kimsuky ha sido conocido con varios nombres, incluidos APT43, Black Banshee, Emerald Sleet (antes Thallium), Springtail, TA427 y Velvet Chollima, y se presume que es subordinado al Centro de Investigación 63, una entidad dentro de la Oficina General de Reconocimiento de Corea del Norte.
Según la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) de EE. UU., el objetivo principal de Kimsuky es proporcionar datos y visión geopolítica al régimen norcoreano mediante compromisos exitosos que les permiten crear correos electrónicos de spear-phishing más creíbles y efectivos.
Kimsuky también ha sido vinculado a campañas de spear-phishing que entregan otros tipos de malware, como un troyano de acceso remoto C# y un ladrón de información conocido como TutorialRAT.
Esta actividad ocurre en paralelo a otra campaña orquestada por ScarCruft, un grupo de piratería norcoreano que ataca a usuarios surcoreanos con archivos de acceso directo de Windows para desplegar RokRAT, también asociado con el Ministerio de Seguridad del Estado de Corea del Norte (MSS).
Estos detalles fueron detallados por el Centro de Inteligencia de Seguridad AhnLab (ASEC), subrayando la persistente amenaza cibernética proveniente de Corea del Norte.
Vía The Hacker News
