La ligada a Corea del Norte ScarCruft grupo se ha atribuido a una puerta trasera no documentada previamente llamada Delfín que el actor de amenazas ha utilizado contra objetivos ubicados en su contraparte del sur.
«La puerta de atrás […] tiene una amplia gama de capacidades de espionaje, que incluyen el monitoreo de unidades y dispositivos portátiles y la filtración de archivos de interés, el registro de teclas y la toma de capturas de pantalla, y el robo de credenciales de los navegadores», dijo Filip Jurčacko, investigador de ESET. dijo en un nuevo informe publicado hoy.
Se dice que Dolphin se implementa de forma selectiva, con el malware utilizando servicios en la nube como Google Drive para la exfiltración de datos, así como para el comando y control.
La compañía eslovaca de ciberseguridad dijo que encontró el implante desplegado como carga útil de etapa final como parte de un ataque de abrevadero a principios de 2021 dirigido contra un periódico digital de Corea del Sur.
La campaña, descubierta por primera vez por kaspersky y Volexity el año pasado, implicó el uso de armas de dos fallas de Internet Explorer (CVE-2020-1380 y CVE-2021-26411) para soltar una puerta trasera llamada BLUELIGHT.
ScarCruft, también llamado APT37, InkySquid, Reaper y Ricochet Chollima, es un grupo APT motivado geopolíticamente que tiene un historial de ataques a entidades gubernamentales, diplomáticos y organizaciones de noticias asociadas con asuntos de Corea del Norte. Se sabe que está activo desde al menos 2012.
A principios de abril, la firma de seguridad cibernética Stairwell reveló detalles de un ataque de phishing dirigido a periodistas que cubren el país con el objetivo final de implementar un malware denominado GOLDBACKDOOR que comparte superposiciones con otra puerta trasera de ScarCruft llamada BLUELIGHT.
Los últimos hallazgos de ESET arrojan luz sobre una segunda puerta trasera más sofisticada entregada a un pequeño grupo de víctimas a través de BLUELIGHT, indicativo de una operación de espionaje altamente dirigida.
Esto, a su vez, se logra mediante la ejecución de un shellcode instalador que activa un cargador que comprende un componente de Python y shellcode, el último de los cuales ejecuta otro cargador de shellcode para eliminar la puerta trasera.
«Mientras que la puerta trasera BLUELIGHT realiza un reconocimiento básico y una evaluación de la máquina comprometida después de la explotación, Dolphin es más sofisticado y se implementa manualmente solo contra víctimas seleccionadas», explicó Jurčacko.
Lo que hace que Dolphin sea mucho más potente que BLUELIGHT es su capacidad para buscar dispositivos extraíbles y filtrar archivos de interés, como medios, documentos, correos electrónicos y certificados.
Se dice que la puerta trasera, desde su descubrimiento original en abril de 2021, ha pasado por tres iteraciones sucesivas que vienen con su propio conjunto de mejoras de características y le otorgan más capacidades de evasión de detección.
«Dolphin es otra adición al extenso arsenal de puertas traseras de ScarCruft que abusan de los servicios de almacenamiento en la nube», dijo Jurčacko. «Una capacidad inusual que se encuentra en versiones anteriores de la puerta trasera es la capacidad de modificar la configuración de las cuentas de Google y Gmail de las víctimas para reducir su seguridad, presumiblemente para mantener el acceso a la cuenta para los atacantes».