Un gruppo APT della Nord Corea è riemerso con una variante del suo trojan di accesso remoto conosciuto come Konni con il fine di colpire Russia e Corea del Sud.
“Gli autori stanno costantemente migliorando il codice“, fa sapere il ricercatore di Malwarebytes Roberto Santos. “I loro sforzi mirano a rompere il flusso tipico registrato da sandbox offuscando al meglio la sua presenza“.
L’intrusione più recente messa in scena dal gruppo, considerato vicino ad Umbrella Kimsuky, è stato l’attacco al ministero degli Affari Esteri della Federazione Russa (MID) nell’orami noto attacco di capodanno.
Le infezioni, come con altri attacchi nordcoreani trattati nella rubrica guerra cibernetica, inizia con un documento malevolo di Microsoft Office che, se inaugurato, avvia un processo di più fasi con il fine di aiutare i criminali ad elevare i privilegi, eludere il rilevamento e, in definitiva, distribuire il RAT Konni sui sistemi compromessi.
Anche in questo caso, l’abilità dell’esercito digitale di Kim Jong è quella di modificare i propri strumenti in corso d’opera, nascondendo le prove dietro a sofisticate criptazioni dei propri agenti malevoli in modo tale da passare inosservati ai sistemi di rilevamento.
