Un instalador de una herramienta probablemente utilizada por el Departamento Consular Ruso del Ministerio de Asuntos Exteriores (MID) ha recibido una puerta trasera para entregar un troyano de acceso remoto llamado konni rata (también conocido como arribaperro).
Los hallazgos provienen de la empresa alemana de ciberseguridad DCSO, que vinculó la actividad como originada por actores del nexo de la República Popular Democrática de Corea (RPDC) que apuntaban a Rusia.
El grupo de actividades Konni (también conocido como Opal Sleet, Osmium o TA406) tiene un patrón establecido de despliegue de Konni RAT contra entidades rusas, y el actor de amenazas también está vinculado a ataques dirigidos contra MID al menos desde octubre de 2021.
En noviembre de 2023, Fortinet FortiGuard Labs reveló el uso de documentos de Microsoft Word en ruso para entregar malware capaz de recopilar información confidencial de hosts de Windows comprometidos.
DCSO dijo que el empaquetado de Konni RAT dentro de los instaladores de software es una técnica previamente adoptado por el grupo en octubre de 2023, cuando se descubrió que aprovechaba un software de declaración de impuestos ruso con puerta trasera llamado Spravki BK para distribuir el troyano.
«En este caso, el instalador con puerta trasera parece ser para una herramienta llamada ‘Statistika KZU’ (Cтатистика КЗУ)», la empresa con sede en Berlín. dicho.
«Sobre la base de las rutas de instalación, los metadatos de los archivos y los manuales de usuario incluidos en el instalador, […] El software está destinado para uso interno dentro del Ministerio de Asuntos Exteriores de Rusia (MID), específicamente para la transmisión de archivos de informes anuales desde las oficinas consulares en el extranjero (КЗУ — консульские загранучреждения) al Departamento Consular del MID a través de un canal seguro.»
El instalador troyanizado es un archivo MSI que, cuando se inicia, inicia la secuencia de infección para establecer contacto con un servidor de comando y control (C2) y esperar más instrucciones.
Se cree que el troyano de acceso remoto, que viene con capacidades para transferencias de archivos y ejecución de comandos, se puso en uso ya en 2014, y también ha sido utilizado por otros actores de amenazas norcoreanos conocidos como Kimsuky y ScarCruft (también conocido como APT37).
Actualmente no está claro cómo los actores de amenazas lograron obtener el instalador, dado que no está disponible públicamente. Pero se sospecha que la larga historia de operaciones de espionaje dirigidas a Rusia puede haberles ayudado a identificar posibles herramientas para ataques posteriores.
Mientras que Corea del Norte apuntando a Rusia no es nuevo, el desarrollo llega en medio creciente proximidad geopolítica entre los dos países. Medios estatales del Reino Ermitaño reportado esta semana que el presidente ruso Vladimir Putin le regaló al líder Kim Jong Un un automóvil de lujo de fabricación rusa.
«Hasta cierto punto, esto no debería ser una sorpresa; no se esperaría que una creciente proximidad estratégica anule por completo las necesidades existentes de recaudación de fondos de la RPDC, con una necesidad constante por parte de la RPDC de poder evaluar y verificar la planificación de la política exterior rusa y objetivos», dijo DCSO.