Il gruppo di hacker nordcoreano Kimsuky sta ampliando le sue tattiche di attacco cibernetico, secondo un avviso congiunto delle agenzie governative tedesche e sudcoreane. Il gruppo utilizza estensioni di browser fasulle per rubare le caselle di posta degli utenti di Gmail. L’avviso proviene dall’Ufficio Federale per la Protezione della Costituzione (BfV) della Germania e dal Servizio di Intelligence Nazionale della Repubblica di Corea (NIS).
Le intrusioni di Kimsuky hanno lo scopo di colpire esperti della penisola coreana e delle questioni nordcoreane attraverso campagne di spear-phishing. Il gruppo, noto anche come Black Banshee, Thallium e Velvet Chollima, raccoglie informazioni strategiche su eventi geopolitici e negoziati che influenzano gli interessi della Corea del Nord.
Recentemente, gli attacchi del gruppo hanno mostrato un’espansione delle sue attività cibernetiche, includendo ceppi di malware Android come FastFire, FastSpy, FastViewer e RambleOn. L’uso di estensioni del browser basate su Chromium per scopi di spionaggio cibernetico non è nuovo per Kimsuky, che in passato ha utilizzato tecniche simili in campagne come Stolen Pencil e SharpTongue.
Nell’ultimo sforzo, l’attore delle minacce ha dimostrato di essere in grado di accedere agli account Google delle vittime utilizzando credenziali ottenute in anticipo tramite tattiche di phishing e di installare app dannose sui dispositivi collegati a tali account. Le app infette, che incorporano FastFire e FastViewer, vengono presumibilmente distribuite utilizzando una funzione di Google Play chiamata “test interni” che consente agli sviluppatori di distribuire le loro app a un gruppo ristretto di tester fidati.
Entrambe le app dannose presentano capacità di raccogliere una vasta gamma di informazioni sensibili abusando dei servizi di accessibilità di Android. L’avviso congiunto delle agenzie tedesche e sudcoreane evidenzia ulteriormente la crescente sofisticazione e l’espansione delle tattiche di attacco cibernetico da parte di Kimsuky.
