Torisma Spyware

Torisma Spyware es una herramienta de software espía utilizada como carga útil de segunda etapa en una campaña de ataque atribuida a grupos de piratas informáticos patrocinados por el estado de Corea del Norte. Los ataques se centraron en contratistas aeroespaciales y de defensa con sede en Rusia e India específicamente, así como ISP (proveedores de servicios de Internet) de Australia, Israel y Rusia.

Antes de implementar Torisma, los piratas informáticos utilizaron un malware de primera etapa para determinar si la víctima estaba entre una lista de entidades particulares de interés. El implante primero recopila varios datos del sistema, como la dirección IP, la fecha, el usuario, etc. y los compara con su lista de objetivos predeterminados. Esta táctica permite a los piratas informáticos minimizar la presencia de sus herramientas de malware en las víctimas comprometidas y configurar completamente sus operaciones solo en los objetivos previstos.

Cuando se inicia, Torisma Spyware puede ejecutar shellcode personalizado mientras está fisgoneando en busca de nuevas unidades que se agreguen al sistema de forma activa o si se inician conexiones de escritorio remoto.

Sitios web legítimos pirateados en la campaña de distribución de Torisma

Para propagar Torisma con éxito, los piratas informáticos norcoreanos emplearon correos electrónicos de suplantación de identidad que contenían documentos armados que pretendían ser ofertas de trabajo. Los atacantes abusaron de fuentes legítimas de contratación de trabajo de los sitios web populares de contratistas de defensa de EE. UU. Para hacer que los archivos adjuntos dañados parezcan tan legítimos como sea posible y para atraer a las víctimas a ejecutarlos. Además, ciertas operaciones de comando y control (C2, C&C) se implementaron a través de sitios web genuinos que se habían visto comprometidos. Los sitios web afectados eran de EE. UU. O Italia y pertenecían a una imprenta, una casa de subastas y una empresa de formación informática.