Se sospecha que el actor-estado-nación vinculado a Corea del Norte, conocido como Kimsuky, está utilizando un ladrón de información previamente no documentado llamado Troll Stealer, basado en Golang.

El malware roba una variedad de datos de los sistemas infectados, incluyendo credenciales SSH, archivos de FileZilla, archivos y directorios de la unidad C, información del sistema y capturas de pantalla, según un informe técnico de la empresa surcoreana de ciberseguridad S2W.

Los vínculos entre Troll Stealer y Kimsuky se derivan de similitudes con otras familias de malware conocidas, como AppleSeed y AlphaSeed, que se han atribuido al grupo Kimsuky.

Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es conocido por sus operaciones cibernéticas ofensivas dirigidas a robar información sensible y confidencial.

En noviembre de 2023, Kimsuky fue sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos por sus actividades de recopilación de inteligencia en apoyo a los objetivos estratégicos de Corea del Norte.

Recientemente, Kimsuky ha sido vinculado a ataques de phishing dirigidos a entidades surcoreanas, utilizando diversas puertas traseras, incluidas AppleSeed y AlphaSeed.

El análisis de S2W revela que Troll Stealer se propaga a través de un dropper que se hace pasar por un archivo de instalación de un programa de seguridad de una empresa surcoreana llamada SGA Solutions. Este dropper lanza el malware, que recibe su nombre de la ruta “D:/~/repo/golang/src/root.go/s/troll/agent” incrustada en él.

El dropper y el malware están firmados con un certificado válido y legítimo de D2Innovation Co., LTD, lo que sugiere que el certificado de la empresa fue robado.

Una característica notable de Troll Stealer es su capacidad para robar la carpeta GPKI en sistemas infectados, lo que sugiere que el malware puede haber sido utilizado en ataques dirigidos a organizaciones administrativas y públicas del país.

Aunque no hay registros documentados de Kimsuky robando carpetas GPKI en el pasado, esta nueva táctica podría indicar un cambio en sus operaciones o la participación de otro actor de amenazas asociado con el grupo.

Además, se ha descubierto que el actor de la amenaza está involucrado en el desarrollo de una puerta trasera basada en Go llamada GoBear, que también está firmada con un certificado legítimo asociado con D2Innovation Co., LTD. GoBear ejecuta instrucciones recibidas de un servidor de comando y control (C2).

Las cadenas de funciones utilizadas por GoBear se superponen con los comandos utilizados por BetaSeed, otro malware de puerta trasera utilizado por el grupo Kimsuky. Además, GoBear agrega funcionalidad de proxy SOCKS5, que no estaba presente en las versiones anteriores del malware del grupo.

fuente:thehackernews