{"id":1174589,"date":"2024-02-08T09:18:27","date_gmt":"2024-02-08T09:18:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-nuevas-puertas-traseras-troll-y-gobear-de-kimsuky-el-ladron-de-golang-apuntan-a-corea-del-sur\/"},"modified":"2024-02-08T09:18:32","modified_gmt":"2024-02-08T09:18:32","slug":"las-nuevas-puertas-traseras-troll-y-gobear-de-kimsuky-el-ladron-de-golang-apuntan-a-corea-del-sur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-nuevas-puertas-traseras-troll-y-gobear-de-kimsuky-el-ladron-de-golang-apuntan-a-corea-del-sur\/","title":{"rendered":"Las nuevas puertas traseras ‘Troll’ y ‘GoBear’ de Kimsuky, el ladr\u00f3n de Golang, apuntan a Corea del Sur"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se sospecha que el actor-estado-naci\u00f3n vinculado a Corea del Norte conocido como Kimsuky utiliza un ladr\u00f3n de informaci\u00f3n previamente indocumentado con base en Golang llamado Ladr\u00f3n de trolls<\/strong>.<\/p>\n

El malware roba “SSH, FileZilla, archivos\/directorios de la unidad C, navegadores, informaci\u00f3n del sistema, [and] capturas de pantalla” de sistemas infectados, empresa surcoreana de ciberseguridad S2W dicho<\/a> en un nuevo informe t\u00e9cnico.<\/p>\n

Los v\u00ednculos de Troll Stealer con Kimsuky surgen de sus similitudes con familias de malware conocidas, como el malware AppleSeed y AlphaSeed que se han atribuido al grupo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Kimsuky, tambi\u00e9n rastreado bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es bien conocido por su propensi\u00f3n a robar informaci\u00f3n sensible y confidencial en operaciones cibern\u00e9ticas ofensivas.<\/p>\n

A finales de noviembre de 2023, los actores de amenazas fueron sancionados por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos por recopilar inteligencia para promover los objetivos estrat\u00e9gicos de Corea del Norte.<\/p>\n

En los \u00faltimos meses, el colectivo adversario ha sido atribuido a ataques de phishing dirigidos a entidades surcoreanas para ofrecer una variedad de puertas traseras, incluidas AppleSeed y AlphaSeed.<\/p>\n

\"Ladr\u00f3n<\/a><\/div>\n

El \u00faltimo an\u00e1lisis de S2W revela el uso de un dropper que se hace pasar por un archivo de instalaci\u00f3n de un programa de seguridad de una empresa surcoreana llamada SGA Solutions para lanzar el ladr\u00f3n, que recibe su nombre de la ruta “D:\/~\/repo\/golang\/src\/root .go\/s\/troll\/agent” que est\u00e1 incrustado en \u00e9l.<\/p>\n

“El dropper se ejecuta como un instalador leg\u00edtimo junto con el malware, y tanto el dropper como el malware est\u00e1n firmados con un certificado v\u00e1lido y leg\u00edtimo de D2Innovation Co.,LTD, lo que sugiere que el certificado de la empresa en realidad fue robado”, dijo la compa\u00f1\u00eda.<\/p>\n

Una caracter\u00edstica destacada de Troll Stealer es su capacidad para robar la carpeta GPKI en sistemas infectados, lo que aumenta la posibilidad de que el malware se haya utilizado en ataques dirigidos a organizaciones administrativas y p\u00fablicas del pa\u00eds.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dada la ausencia de campa\u00f1as de Kimsuky que documenten el robo de carpetas GPKI, ha surgido la posibilidad de que el nuevo comportamiento sea un cambio de t\u00e1ctica o el trabajo de otro actor de amenazas estrechamente asociado con el grupo que tambi\u00e9n tiene acceso al c\u00f3digo fuente de AppleSeed. y AlphaSeed.<\/p>\n

Tambi\u00e9n hay indicios de que el actor de la amenaza puede estar involucrado con una puerta trasera basada en Go con nombre en c\u00f3digo GoBear que tambi\u00e9n est\u00e1 firmada con un certificado leg\u00edtimo asociado con D2Innovation Co., LTD y ejecuta instrucciones recibidas de un servidor de comando y control (C2).<\/p>\n

“Se ha descubierto que las cadenas contenidas en los nombres de las funciones que llama se superponen con los comandos utilizados por BetaSeed, un malware de puerta trasera basado en C++ utilizado por el grupo Kimsuky”, dijo S2W. “Es digno de menci\u00f3n que GoBear agrega la funcionalidad de proxy SOCKS5, que anteriormente no era compatible con el malware de puerta trasera del grupo Kimsuky”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n