L’attore di minaccia nordcoreano noto come Kimsuky è sospettato di utilizzare un nuovo stealer di informazioni basato su Golang, chiamato Troll Stealer. Questo malware è progettato per rubare dati sensibili come informazioni sui sistemi SSH, configurazioni di FileZilla, file e directory dell’unità C, dati di navigazione, informazioni di sistema e screenshot dalle macchine infette.
Collegamenti con Kimsuky
Le analogie di Troll Stealer con famiglie di malware note, come AppleSeed e AlphaSeed, attribuite a Kimsuky, suggeriscono un legame tra il gruppo e questo nuovo stealer. Kimsuky è rinomato per le sue operazioni di cyber spionaggio volte al furto di informazioni sensibili e confidenziali, principalmente mirate a entità sudcoreane.
Caratteristiche Distintive di Troll Stealer
L’analisi di S2W rivela l’uso di un dropper che si maschera da file di installazione di un programma di sicurezza di una compagnia sudcoreana, SGA Solutions, per distribuire lo stealer. Entrambi il dropper e il malware risultano firmati con un certificato valido e legittimo di D2Innovation Co., LTD, suggerendo il furto del certificato dell’azienda.
Una caratteristica notevole di Troll Stealer è la sua capacità di sottrarre la cartella GPKI dai sistemi infetti, suggerendo che il malware possa essere utilizzato in attacchi mirati a organizzazioni amministrative e pubbliche.
Cambiamento nelle Tattiche o Nuovo Attore di Minaccia?
L’assenza di campagne di Kimsuky che documentano il furto di cartelle GPKI solleva la possibilità che questo nuovo comportamento rappresenti un cambio nelle tattiche o l’opera di un altro attore di minaccia strettamente associato al gruppo, con accesso anche al codice sorgente di AppleSeed e AlphaSeed.
GoBear: Un Altro Backdoor in Golang
Si sospetta inoltre che l’attore di minaccia sia coinvolto con un backdoor basato su Go, soprannominato GoBear, anch’esso firmato con un certificato legittimo associato a D2Innovation Co., LTD. GoBear esegue istruzioni ricevute da un server di comando e controllo (C2) e aggiunge funzionalità di proxy SOCKS5, precedentemente non supportate dal malware backdoor del gruppo Kimsuky.
Questa nuova ondata di attacchi sottolinea l’evoluzione continua delle tattiche di cyber spionaggio di Kimsuky e la crescente sofisticatezza degli strumenti utilizzati per condurre operazioni offensive nel cyberspazio, con particolare attenzione alle entità sudcoreane.
Implicazioni per la Sicurezza
L’emergere di strumenti avanzati come Troll Stealer e GoBear, firmati con certificati rubati, pone significative preoccupazioni per la sicurezza, evidenziando la necessità di rafforzare le difese contro tali minacce sofisticate e di rimanere vigili di fronte alle tecniche in evoluzione degli attori statali.