L’acteur état-nation lié à la Corée du Nord, connu sous le nom de Kimsuky, est soupçonné d’avoir utilisé un voleur d’informations basé sur Golang, jusqu’alors sans papiers, appelé Voleur de trolls.
Le malware vole « SSH, FileZilla, fichiers/répertoires du lecteur C, navigateurs, informations système, [and] captures d’écran » de systèmes infectés, société de cybersécurité sud-coréenne S2W dit dans un nouveau rapport technique.
Les liens de Troll Stealer avec Kimsuky proviennent de ses similitudes avec des familles de logiciels malveillants connues, telles que les logiciels malveillants AppleSeed et AlphaSeed qui ont été attribués au groupe.
Kimsuky, également suivi sous les noms d’APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima, est bien connu pour sa propension à voler des informations sensibles et confidentielles dans le cadre de cyberopérations offensives.
Fin novembre 2023, les auteurs de la menace ont été sanctionnés par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain pour avoir collecté des renseignements afin de faire avancer les objectifs stratégiques de la Corée du Nord.
Ces derniers mois, le collectif antagoniste a été attribué à des attaques de spear-phishing ciblant des entités sud-coréennes pour fournir diverses portes dérobées, notamment AppleSeed et AlphaSeed.
La dernière analyse de S2W révèle l’utilisation d’un compte-gouttes se faisant passer pour un fichier d’installation de programme de sécurité d’une société sud-coréenne nommée SGA Solutions pour lancer le voleur, qui tire son nom du chemin « D:/~/repo/golang/src/root .go/s/troll/agent » qui y est intégré.
« Le compte-gouttes fonctionne comme un installateur légitime aux côtés du logiciel malveillant, et le compte-gouttes et le logiciel malveillant sont tous deux signés avec un certificat valide et légitime de D2Innovation Co., LTD, ce qui suggère que le certificat de l’entreprise a en fait été volé », a déclaré la société.
Une caractéristique remarquable de Troll Stealer est sa capacité à voler le dossier GPKI sur les systèmes infectés, ce qui soulève la possibilité que le logiciel malveillant ait été utilisé dans des attaques ciblant les organisations administratives et publiques du pays.
Compte tenu de l’absence de campagnes Kimsuky documentant le vol de dossiers GPKI, il est possible que le nouveau comportement soit soit un changement de tactique, soit le travail d’un autre acteur malveillant étroitement associé au groupe qui a également accès au code source d’AppleSeed. et AlphaSeed.
Il existe également des signes indiquant que l’acteur malveillant pourrait être impliqué dans une porte dérobée basée sur Go, nommée GoBear, qui est également signée avec un certificat légitime associé à D2Innovation Co., LTD et exécute les instructions reçues d’un serveur de commande et de contrôle (C2).
« Les chaînes contenues dans les noms des fonctions qu’il appelle se chevauchent avec les commandes utilisées par BetaSeed, un malware de porte dérobée basé sur C++ utilisé par le groupe Kimsuky », a déclaré S2W. « Il est à noter que GoBear ajoute la fonctionnalité proxy SOCKS5, qui n’était pas auparavant prise en charge par le malware de porte dérobée du groupe Kimsuky. »