Un instalador de una herramienta probablemente utilizada por el Departamento Consular Ruso del Ministerio de Asuntos Exteriores (MID) ha recibido una puerta trasera para entregar un troyano de acceso remoto llamado konni rata<\/strong> (tambi\u00e9n conocido como arribaperro<\/a>).<\/p>\n Los hallazgos provienen de la empresa alemana de ciberseguridad DCSO, que vincul\u00f3 la actividad como originada por actores del nexo de la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) que apuntaban a Rusia.<\/p>\n El grupo de actividades Konni (tambi\u00e9n conocido como Opal Sleet, Osmium o TA406) tiene un patr\u00f3n establecido de despliegue de Konni RAT contra entidades rusas, y el actor de amenazas tambi\u00e9n est\u00e1 vinculado a ataques dirigidos contra MID al menos desde octubre de 2021.<\/p>\n En noviembre de 2023, Fortinet FortiGuard Labs revel\u00f3 el uso de documentos de Microsoft Word en ruso para entregar malware capaz de recopilar informaci\u00f3n confidencial de hosts de Windows comprometidos.<\/p>\n DCSO dijo que el empaquetado de Konni RAT dentro de los instaladores de software es una t\u00e9cnica previamente adoptado<\/a> por el grupo en octubre de 2023, cuando se descubri\u00f3 que aprovechaba un software de declaraci\u00f3n de impuestos ruso con puerta trasera llamado Spravki BK para distribuir el troyano.<\/p>\n “En este caso, el instalador con puerta trasera parece ser para una herramienta llamada ‘Statistika KZU’ (C\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u041a\u0417\u0423)”, la empresa con sede en Berl\u00edn. dicho<\/a>.<\/p>\n “Sobre la base de las rutas de instalaci\u00f3n, los metadatos de los archivos y los manuales de usuario incluidos en el instalador, […] El software est\u00e1 destinado para uso interno dentro del Ministerio de Asuntos Exteriores de Rusia (MID), espec\u00edficamente para la transmisi\u00f3n de archivos de informes anuales desde las oficinas consulares en el extranjero (\u041a\u0417\u0423 \u2014 \u043a\u043e\u043d\u0441\u0443\u043b\u044c\u0441\u043a\u0438\u0435 \u0437\u0430\u0433\u0440\u0430\u043d\u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f) al Departamento Consular del MID a trav\u00e9s de un canal seguro.”<\/p>\n El instalador troyanizado es un archivo MSI que, cuando se inicia, inicia la secuencia de infecci\u00f3n para establecer contacto con un servidor de comando y control (C2) y esperar m\u00e1s instrucciones.<\/p>\n Se cree que el troyano de acceso remoto, que viene con capacidades para transferencias de archivos y ejecuci\u00f3n de comandos, se puso en uso ya en 2014, y tambi\u00e9n ha sido utilizado por otros actores de amenazas norcoreanos conocidos como Kimsuky y ScarCruft (tambi\u00e9n conocido como APT37).<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo los actores de amenazas lograron obtener el instalador, dado que no est\u00e1 disponible p\u00fablicamente. Pero se sospecha que la larga historia de operaciones de espionaje dirigidas a Rusia puede haberles ayudado a identificar posibles herramientas para ataques posteriores.<\/p>\n Mientras que Corea del Norte apuntando a Rusia<\/a> no es nuevo, el desarrollo llega en medio creciente proximidad geopol\u00edtica<\/a> entre los dos pa\u00edses. Medios estatales del Reino Ermita\u00f1o reportado<\/a> esta semana que el presidente ruso Vladimir Putin le regal\u00f3 al l\u00edder Kim Jong Un un autom\u00f3vil de lujo de fabricaci\u00f3n rusa.<\/p>\n “Hasta cierto punto, esto no deber\u00eda ser una sorpresa; no se esperar\u00eda que una creciente proximidad estrat\u00e9gica anule por completo las necesidades existentes de recaudaci\u00f3n de fondos de la RPDC, con una necesidad constante por parte de la RPDC de poder evaluar y verificar la planificaci\u00f3n de la pol\u00edtica exterior rusa y objetivos”, dijo DCSO.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Software-del-gobierno-ruso-con-puerta-trasera-para-implementar-malware.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n