Un nuevo troyano de acceso remoto, MoonPeak, ha sido descubierto como parte de una nueva campaña maliciosa llevada a cabo por un grupo de amenazas respaldado por un estado norcoreano.
Cisco Talos ha atribuido la campaña a un grupo de hackers llamado UAT-5394, que muestra superposición táctica con un actor estatal conocido como Kimsuky.
MoonPeak es una variante del malware Xeno RAT, desplegado como parte de ataques de phishing diseñados para recuperar la carga útil de servicios en la nube como Dropbox, Google Drive y Microsoft OneDrive.
El troyano tiene la capacidad de cargar complementos adicionales, iniciar y finalizar procesos, y comunicarse con un servidor de comando y control (C2).
Talos sugiere que UAT-5394 podría ser Kimsuky (o su subgrupo) o bien otra tripulación de piratas informáticos norcoreanos que utiliza el kit de herramientas de Kimsuky.
La campaña utiliza nueva infraestructura, incluidos servidores C2, sitios de alojamiento de carga útil y máquinas virtuales de prueba, para generar nuevas iteraciones de MoonPeak.
Esta evolución constante de MoonPeak incluye más técnicas de ofuscación y cambios en el mecanismo de comunicación para prevenir conexiones no autorizadas.
El rápido ritmo de establecimiento de nueva infraestructura por UAT-5394 indica un objetivo de proliferación rápida y establecimiento de más puntos de entrega y servidores C2.
Vía The Hacker News
