Se ha observado que piratas informáticos vinculados al gobierno de Corea del Norte utilizan una versión actualizada de una puerta trasera conocida como Dtrack dirigida a una amplia gama de industrias en Alemania, Brasil, India, Italia, México, Suiza, Arabia Saudita, Turquía y EE. UU.
«Dtrack permite que los delincuentes carguen, descarguen, inicien o eliminen archivos en el host de la víctima», los investigadores de Kaspersky Konstantin Zykov y Jornt van der Wiel dijo en un informe
Los patrones de victimología indican una expansión a Europa y América Latina. Los sectores a los que se dirige el malware son la educación, la fabricación de productos químicos, los centros de investigación gubernamentales y los institutos de políticas, los proveedores de servicios de TI, los proveedores de servicios públicos y las empresas de telecomunicaciones.
Dtrack, también llamado Valefor y Preft, es obra de Andariel, un subgrupo de la Lazarus actor de amenazas del estado-nación eso es rastreado públicamente por la comunidad de ciberseguridad en general utilizando los apodos Operation Troy, Silent Chollima y Stonefly.
Descubierto en septiembre de 2019, el malware se implementó previamente en un ataque cibernético dirigido a una planta de energía nuclear en India, con intrusiones más recientes usando Dtrack como parte de los ataques de ransomware de Maui.
Desde entonces, la empresa de ciberseguridad industrial Dragos ha atribuido el ataque a la instalación nuclear a un actor de amenazas al que llama Wassonitaseñalando el uso de Dtrack para el acceso remoto a la red comprometida.
Los últimos cambios observados por Kaspersky se relacionan con la forma en que el implante oculta su presencia dentro de un programa aparentemente legítimo («NvContainer.exe» o «XColorHexagonCtrlTest.exe«) y el uso de tres capas de encriptación y ofuscación diseñadas para dificultar el análisis.
La carga útil final, luego del descifrado, se inyecta posteriormente en el proceso del Explorador de archivos de Windows («explorer.exe») utilizando una técnica llamada proceso de vaciado. El principal de los módulos descargados a través de Dtrack es un registrador de teclas, así como herramientas para capturar capturas de pantalla y recopilar información del sistema.
«La puerta trasera Dtrack sigue siendo utilizada activamente por el grupo Lazarus», concluyeron los investigadores. «Las modificaciones en la forma en que se empaqueta el malware muestran que Lazarus todavía ve a Dtrack como un activo importante».