Troll Stealer
Se cree que el actor-estado-nación Kimsuky, asociado con Corea del Norte, ha implementado un malware de robo de información recientemente identificado, el Troll Stealer, basado en el lenguaje de programación Golang. Este software amenazante está diseñado para extraer varios tipos de datos confidenciales, incluidas credenciales SSH, información de FileZilla, archivos y directorios de la unidad C, datos del navegador, detalles del sistema y capturas de pantalla, entre otras cosas, de sistemas comprometidos.
La conexión de Troll Stealer con Kimsuky se infiere de sus parecidos con familias de malware conocidas como AppleSeed y AlphaSeed, ambas previamente vinculadas al mismo grupo de actores de amenazas.
Tabla de contenido
Kimsuky es un grupo activo APT (amenaza persistente avanzada)
Kimsuky, identificado alternativamente como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es conocido por su propensión a participar en operaciones cibernéticas ofensivas destinadas a robar información sensible y confidencial.
En noviembre de 2023, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos presionó para que se impongan sanciones a estos actores de amenazas por su papel en la recopilación de inteligencia para promover los objetivos estratégicos de Corea del Norte.
Este grupo adversario también ha sido vinculado a ataques de phishing dirigidos a entidades de Corea del Sur, utilizando varias puertas traseras, incluidas AppleSeed y AlphaSeed.
La operación de ataque que implementa el malware Troll Stealer
Un examen realizado por investigadores de ciberseguridad ha revelado la utilización de un gotero encargado de implementar la siguiente amenaza de ladrón. El dropper se disfraza como un archivo de instalación de un programa de seguridad supuestamente de una empresa surcoreana conocida como SGA Solutions. En cuanto al nombre del ladrón, se basa en la ruta 'D:/~/repo/golang/src/root.go/s/troll/agent' incluida en él.
Según los conocimientos proporcionados por los expertos en seguridad de la información, el dropper funciona como un instalador legítimo junto con el malware. Tanto el dropper como el malware llevan la firma de un certificado válido de D2Innovation Co., LTD, lo que indica un posible robo del certificado de la empresa.
Una característica notable de Troll Stealer es su capacidad para robar la carpeta GPKI en sistemas comprometidos, lo que sugiere la probabilidad de que el malware haya sido empleado en ataques dirigidos a organizaciones administrativas y públicas dentro del país.
Kimsiky puede estar evolucionando sus tácticas y amenazando al arsenal
A la luz de la ausencia de campañas documentadas de Kimsuky que involucren el robo de carpetas GPKI, se especula que el nuevo comportamiento observado podría significar un cambio en las tácticas o las acciones de otro actor de amenazas estrechamente afiliado al grupo, que potencialmente poseería acceso al código fuente. de AppleSeed y AlphaSeed.
Los indicios también apuntan a la posible participación del actor de amenazas en una puerta trasera basada en Go llamada GoBear. Esta puerta trasera está firmada con un certificado legítimo vinculado a D2Innovation Co., LTD y sigue instrucciones de un servidor de comando y control (C2).
Además, los nombres de las funciones dentro del código de GoBear se superponen con los comandos utilizados por BetaSeed, un malware de puerta trasera basado en C++ empleado por el grupo Kimsuky. En particular, GoBear introduce la funcionalidad de proxy SOCKS5, una característica que no estaba presente anteriormente en el malware de puerta trasera asociado con el grupo Kimsuky.
