Un programme d’installation d’un outil probablement utilisé par le département consulaire russe du ministère des Affaires étrangères (MID) a été détourné pour fournir un cheval de Troie d’accès à distance appelé Konni RAT (alias UpDog).
Les conclusions proviennent de la société allemande de cybersécurité DCSO, qui a lié l’activité à des acteurs liés à la République populaire démocratique de Corée (RPDC) ciblant la Russie.
Le cluster d’activités Konni (alias Opal Sleet, Osmium ou TA406) a un modèle établi de déploiement de Konni RAT contre des entités russes, l’acteur menaçant étant également lié à des attaques dirigées contre MID au moins depuis octobre 2021.
En novembre 2023, les laboratoires Fortinet FortiGuard ont révélé l’utilisation de documents Microsoft Word en russe pour diffuser des logiciels malveillants capables de collecter des informations sensibles sur des hôtes Windows compromis.
DCSO a déclaré que l’empaquetage de Konni RAT dans les installateurs de logiciels est une technique précédemment adopté par le groupe en octobre 2023, lorsqu’il a été découvert qu’il exploitait un logiciel russe de déclaration de revenus dérobé nommé Spravki BK pour distribuer le cheval de Troie.
« Dans ce cas, l’installateur détourné semble être destiné à un outil nommé ‘Statistika KZU’ (Cтатистика КЗУ) », a déclaré la société berlinoise. dit.
« Sur la base des chemins d’installation, des métadonnées des fichiers et des manuels d’utilisation fournis dans le programme d’installation, […] le logiciel est destiné à un usage interne au sein du ministère russe des Affaires étrangères (MID), notamment pour le relais des fichiers de rapports annuels des postes consulaires à l’étranger (КЗУ — консульские загранучреждения) vers le département consulaire du MID via un canal sécurisé.
Le programme d’installation du cheval de Troie est un fichier MSI qui, une fois lancé, lance la séquence d’infection pour établir le contact avec un serveur de commande et de contrôle (C2) et attendre des instructions supplémentaires.
Le cheval de Troie d’accès à distance, doté de capacités de transfert de fichiers et d’exécution de commandes, aurait été utilisé dès 2014 et a également été utilisé par d’autres acteurs malveillants nord-coréens connus sous le nom de Kimsuky et ScarCruft (alias APT37).
On ne sait actuellement pas comment les auteurs de la menace ont réussi à obtenir le programme d’installation, étant donné qu’il n’est pas accessible au public. Mais on soupçonne que la longue histoire d’opérations d’espionnage visant la Russie a pu les aider à identifier des outils potentiels pour des attaques ultérieures.
Alors que la Corée du Nord ciblage de la Russie n’est pas nouveau, le développement intervient au milieu une proximité géopolitique croissante entre les deux pays. Médias d’État du Royaume Ermite signalé cette semaine, le président russe Vladimir Poutine a offert au dirigeant Kim Jong Un une voiture de luxe fabriquée en Russie.
« Dans une certaine mesure, cela ne devrait pas surprendre ; une proximité stratégique croissante ne devrait pas écraser complètement les besoins existants en matière de collecte de données de la RPDC, la RPDC ayant toujours besoin d’être en mesure d’évaluer et de vérifier la planification et la planification de la politique étrangère russe. objectifs », a déclaré le DCSO.