Programa malicioso FPSpy

Se han identificado grupos de amenazas vinculados a Corea del Norte que utilizan dos herramientas de nuevo desarrollo conocidas como KLogEXE y FPSpy. Esta actividad se ha relacionado con un actor de amenazas conocido como Kimsuky, también conocido bajo alias como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail y Velvet Chollima. Estas nuevas herramientas amplían el ya considerable conjunto de herramientas de Sparkling Pisces, lo que refleja la evolución continua del grupo y su creciente sofisticación.

Un sofisticado actor de amenazas que opera desde hace más de una década

Activo desde al menos 2012, el actor de amenazas ha sido llamado el "rey del spear phishing" por su capacidad de engañar a las víctimas para que descarguen malware mediante el envío de correos electrónicos que parecen provenir de partes confiables. El análisis de los investigadores de la infraestructura de Kimsuki ha descubierto dos nuevos ejecutables portátiles denominados KLogEXE y FPSpy.

Se sabe que estas cepas de malware se distribuyen principalmente a través de ataques de phishing selectivo. Según la información disponible, parece que los operadores maliciosos de esta campaña prefieren los ataques de ingeniería social en forma de correos electrónicos de phishing selectivo enviados a sus objetivos.

Estos correos electrónicos cuidadosamente elaborados tienen un lenguaje diseñado para inducir a los destinatarios a descargar un archivo ZIP adjunto al correo electrónico. A menudo, se les anima a extraer archivos dañados, que, al ejecutarse, activan la cadena de infección y, finalmente, distribuyen estas cepas de malware.

FPSpy está equipado con numerosas capacidades invasivas

Se cree que FPSpy es una variante de una puerta trasera expuesta por primera vez por AhnLab en 2022, que muestra similitudes con una amenaza documentada por Cybereason con el nombre KGH_SPY a fines de 2020. Más allá del registro de teclas, FPSpy está diseñado para recopilar detalles del sistema, descargar e implementar cargas útiles adicionales, ejecutar comandos arbitrarios y escanear unidades, carpetas y archivos en el sistema comprometido.

Mientras tanto, KLogExe, otra amenaza recientemente identificada, es una adaptación en C++ de un keylogger basado en PowerShell llamado InfoKey, previamente detectado por JPCERT/CC en una campaña de Kimsuky dirigida a entidades japonesas. Esta herramienta está equipada para capturar y extraer datos sobre aplicaciones activas, pulsaciones de teclas y movimientos del ratón en la máquina afectada.

Una campaña de ataques altamente selectivos

Los expertos en ciberseguridad han identificado similitudes en el código fuente de KLogExe y FPSpy, lo que indica que es probable que hayan sido desarrollados por el mismo autor. Si bien Kimsuky tiene antecedentes de atacar a varias regiones y sectores, esta campaña en particular parece estar enfocada en organizaciones de Japón y Corea del Sur.

Dada la naturaleza selectiva y dirigida de estas operaciones, los investigadores han llegado a la conclusión de que es poco probable que la campaña sea generalizada. Por el contrario, parece confinada a industrias específicas y limitada principalmente a Japón y Corea del Sur.

Tendencias

Mas Visto

Cargando...