Malware durián
El grupo de amenazas norcoreano Kimsuky ha utilizado recientemente un nuevo malware basado en Golang llamado Durian en operaciones cibernéticas específicas dirigidas a dos empresas de criptomonedas de Corea del Sur. Durian es un malware avanzado con amplias capacidades de puerta trasera, que le permite ejecutar comandos, descargar archivos y recopilar datos de sistemas comprometidos.
Tabla de contenido
Vector de infección para la entrega del malware Durian
Los incidentes tuvieron lugar en agosto y noviembre de 2023 e implicaron la explotación de software legítimo exclusivo de Corea del Sur como método de infección. Los investigadores aún no han descubierto completamente el método específico utilizado para explotar este software.
Lo que se entiende es que este software establece comunicación con el servidor del atacante, que luego recupera una carga útil insegura para iniciar el proceso de infección. La etapa inicial actúa como un instalador de más malware y establece persistencia en el host afectado. También facilita la implementación de un cargador de malware que, en última instancia, desencadena la ejecución de Durian.
Malware adicional utilizado por atacantes junto con Durian
Los atacantes utilizan Durian para implementar malware adicional, incluido AppleSeed (la puerta trasera preferida de Kimsuky), una herramienta proxy personalizada llamada LazyLoad, junto con herramientas legítimas como ngrok y Chrome Remote Desktop. El objetivo era robar datos almacenados en el navegador, como cookies y credenciales de inicio de sesión.
Un punto interesante del ataque es la utilización de LazyLoad, anteriormente asociado con Andariel , un subgrupo dentro del Grupo L azarus . Esto sugiere una posible colaboración o alineación táctica entre estos actores de amenazas.
Kimsuky sigue siendo un actor importante en la escena del cibercrimen
El grupo Kimsuky, activo desde al menos 2012, también es conocido por varios alias, incluidos APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 y Velvet Chollima. Se cree que opera bajo el Centro de Investigación 63, una división de la Oficina General de Reconocimiento (RGB), la principal organización de inteligencia militar de Corea del Norte.
Según una alerta conjunta de la Oficina Federal de Investigaciones (FBI) de Estados Unidos y la Agencia de Seguridad Nacional (NSA), el objetivo principal de Kimsuky es proporcionar datos robados y conocimientos geopolíticos al régimen norcoreano. Lo logran comprometiendo a analistas y expertos en políticas. Los compromisos exitosos permiten a los actores de Kimsuky desarrollar correos electrónicos de phishing más convincentes para dirigirse a personas de mayor valor.
Kimsuky también se ha asociado con campañas que involucran un troyano de acceso remoto basado en C# y un recopilador de información conocido como TutorialRAT. Este malware utiliza Dropbox como plataforma para lanzar ataques con el objetivo de evadir la detección de amenazas. Esta campaña, que recuerda a la campaña de amenazas BabyShark de APT43, emplea técnicas comunes de phishing, incluido el uso de archivos de acceso directo (LNK).
