Un acteur de la menace soutenu par l’État et lié à la République populaire démocratique de Corée (RPDC) a été attribué à une campagne de harponnage ciblant les journalistes couvrant le pays dans le but ultime de déployer une porte dérobée sur les systèmes Windows infectés.
Les intrusions, qui seraient l’œuvre de Ricochet Chollima, ont entraîné le déploiement d’une nouvelle souche de malware appelée GOLDBACKDOOR, un artefact qui partage des chevauchements techniques avec un autre malware nommé BLUELIGHT, qui était auparavant lié au groupe.
« Les journalistes sont des cibles de grande valeur pour les gouvernements hostiles », déclare la société de cybersécurité Stairwell mentionné dans un rapport publié la semaine dernière. « Compromettre un journaliste peut donner accès à des informations hautement sensibles et permettre des attaques supplémentaires contre ses sources.
Ricochet Chollima, également connu sous le nom de APT37InkySquid et ScarCruft, est un adversaire d’intrusion ciblé lié à la Corée du Nord qui est impliqué dans des attaques d’espionnage depuis au moins 2016. L’acteur de la menace a l’habitude de cibler la République de Corée avec un accent particulier sur les responsables gouvernementaux, non- des organisations gouvernementales, des universitaires, des journalistes et des transfuges nord-coréens.
En novembre 2021, Kaspersky a découvert des preuves que l’équipe de piratage a livré un implant auparavant non documenté appelé Chinotto dans le cadre d’une nouvelle vague d’attaques de surveillance très ciblées, tandis que d’autres opérations antérieures ont utilisé un outil d’accès à distance appelé BLUELIGHT.
L’enquête de Stairwell sur la campagne intervient des semaines après NK News divulgué que les messages de leurre ont été envoyés à partir d’une adresse e-mail personnelle appartenant à un ancien responsable du renseignement sud-coréen, conduisant finalement au déploiement de la porte dérobée dans un processus d’infection en plusieurs étapes pour échapper à la détection.
Il a été découvert que les e-mails contenaient un lien permettant de télécharger une archive ZIP à partir d’un serveur distant conçu pour se faire passer pour le portail d’informations axé sur la Corée du Nord. Un fichier de raccourci Windows intégré au fichier sert de point de départ pour exécuter le script PowerShell, qui ouvre un document leurre tout en installant simultanément la porte dérobée GOLDBACKDOOR.
L’implant, pour sa part, est conçu comme un fichier exécutable portable capable de récupérer des commandes à partir d’un serveur distant, de télécharger et de télécharger des fichiers, d’enregistrer des fichiers et de se désinstaller à distance des machines compromises.
« Au cours des 10 dernières années, la RPDC de la République populaire démocratique de Corée a adopté les cyberopérations comme un moyen clé de soutenir le régime », a déclaré Silas Cutler de Stairwell.
« Bien qu’une attention particulière ait été accordée à la prétendue utilisation de ces opérations comme moyen de financer les programmes militaires de la RPDC, le ciblage des chercheurs, des dissidents et des journalistes reste probablement un domaine clé pour soutenir les opérations de renseignement du pays. »