Il gruppo di minacce nordcoreano noto come ScarCruft è stato osservato mentre utilizza un malware ruba-informazioni con funzionalità di intercettazione precedentemente non documentate e un backdoor sviluppato utilizzando Golang che sfrutta il servizio di messaggistica in tempo reale Ably.
L’uso del backdoor Golang
“Il gruppo di minacce ha inviato i loro comandi attraverso il backdoor Golang che utilizza il servizio Ably”, ha affermato il Centro di risposta alle emergenze di sicurezza di AhnLab (ASEC) in un rapporto tecnico. “Il valore della chiave API necessario per la comunicazione dei comandi era salvato in un repository GitHub.”
ScarCruft e le sue attività
ScarCruft è un gruppo sponsorizzato dallo stato con collegamenti al Ministero della Sicurezza dello Stato (MSS) della Corea del Nord. È noto per essere attivo almeno dal 2012. Le catene di attacco montate dal gruppo comportano l’uso di esche di spear-phishing per consegnare RokRAT, sebbene abbia sfruttato una vasta gamma di altri strumenti personalizzati per raccogliere informazioni sensibili.
L’ultima intrusione rilevata da ASEC
Nell’ultima intrusione rilevata da ASEC, l’email porta un file di aiuto HTML compilato da Microsoft (.CHM) – una tattica segnalata per la prima volta nel marzo 2023 – che, quando viene cliccato, contatta un server remoto per scaricare un malware PowerShell noto come Chinotto.