Se sospecha que el actor-estado-nación vinculado a Corea del Norte conocido como Kimsuky utiliza un ladrón de información previamente indocumentado con base en Golang llamado Ladrón de trolls.
El malware roba “SSH, FileZilla, archivos/directorios de la unidad C, navegadores, información del sistema, [and] capturas de pantalla” de sistemas infectados, empresa surcoreana de ciberseguridad S2W dicho en un nuevo informe técnico.
Los vínculos de Troll Stealer con Kimsuky surgen de sus similitudes con familias de malware conocidas, como el malware AppleSeed y AlphaSeed que se han atribuido al grupo.
Kimsuky, también rastreado bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es bien conocido por su propensión a robar información sensible y confidencial en operaciones cibernéticas ofensivas.
A finales de noviembre de 2023, los actores de amenazas fueron sancionados por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos por recopilar inteligencia para promover los objetivos estratégicos de Corea del Norte.
En los últimos meses, el colectivo adversario ha sido atribuido a ataques de phishing dirigidos a entidades surcoreanas para ofrecer una variedad de puertas traseras, incluidas AppleSeed y AlphaSeed.
El último análisis de S2W revela el uso de un dropper que se hace pasar por un archivo de instalación de un programa de seguridad de una empresa surcoreana llamada SGA Solutions para lanzar el ladrón, que recibe su nombre de la ruta “D:/~/repo/golang/src/root .go/s/troll/agent” que está incrustado en él.
“El dropper se ejecuta como un instalador legítimo junto con el malware, y tanto el dropper como el malware están firmados con un certificado válido y legítimo de D2Innovation Co.,LTD, lo que sugiere que el certificado de la empresa en realidad fue robado”, dijo la compañía.
Una característica destacada de Troll Stealer es su capacidad para robar la carpeta GPKI en sistemas infectados, lo que aumenta la posibilidad de que el malware se haya utilizado en ataques dirigidos a organizaciones administrativas y públicas del país.
Dada la ausencia de campañas de Kimsuky que documenten el robo de carpetas GPKI, ha surgido la posibilidad de que el nuevo comportamiento sea un cambio de táctica o el trabajo de otro actor de amenazas estrechamente asociado con el grupo que también tiene acceso al código fuente de AppleSeed. y AlphaSeed.
También hay indicios de que el actor de la amenaza puede estar involucrado con una puerta trasera basada en Go con nombre en código GoBear que también está firmada con un certificado legítimo asociado con D2Innovation Co., LTD y ejecuta instrucciones recibidas de un servidor de comando y control (C2).
“Se ha descubierto que las cadenas contenidas en los nombres de las funciones que llama se superponen con los comandos utilizados por BetaSeed, un malware de puerta trasera basado en C++ utilizado por el grupo Kimsuky”, dijo S2W. “Es digno de mención que GoBear agrega la funcionalidad de proxy SOCKS5, que anteriormente no era compatible con el malware de puerta trasera del grupo Kimsuky”.