Agentes de ameaças com laços com a Coreia do Norte foram observados utilizando duas novas cepas de malware denominadas KLogEXE e FPSpy.
A atividade foi atribuída a um adversário rastreado como Kimsuky, também conhecido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Glowing Pisces, Springtail e Velvet Chollima.
“Essas amostras aprimoram o já extenso arsenal do Glowing Pisces e demonstram a evolução contínua e as capacidades crescentes do grupo”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Daniel Frank e Lior Rochberger.
Ativo desde pelo menos 2012, o agente de ameaças tem sido chamado de “rei do spear phishing” por sua capacidade de enganar as vítimas e fazê-las baixar malware enviando e-mails que fazem parecer que são de partes confiáveis.
A análise da infraestrutura do Glowing Pisces feita pela Unidade 42 revelou dois novos executáveis portáteis chamados KLogEXE e FPSpy.
KLogExe é uma versão C++ do keylogger baseado em PowerShell chamado InfoKey que foi destacado pelo JPCERT/CC em conexão com uma campanha Kimsuky direcionada a organizações japonesas.
O malware vem equipado com recursos para coletar e extrair informações sobre os aplicativos em execução na estação de trabalho comprometida, teclas digitadas e cliques do mouse.
Por outro lado, o FPSpy é considerado uma variante do backdoor que o AhnLab divulgou em 2022, com sobreposições identificadas a um malware que a Cyberseason documentou sob o nome KGH_SPY no ultimate de 2020.
O FPSpy, além do keylogging, também foi projetado para coletar informações do sistema, baixar e executar mais payloads, executar comandos arbitrários e enumerar unidades, pastas e arquivos no dispositivo infectado.
A Unidade 42 disse que também foi capaz de identificar pontos de semelhança no código-fonte do KLogExe e do FPSpy, sugerindo que eles provavelmente são trabalho do mesmo autor.
“A maioria dos alvos que observamos durante nossa pesquisa period originária da Coreia do Sul e do Japão, o que é congruente com os alvos anteriores do Kimsuky”, disseram os pesquisadores.