O ator estatal ligado à Coreia do Setentrião, sabido porquê Kimsuky, é suspeito de usar um ladrão de informações fundamentado em Golang, anteriormente não documentado, chamado Ladrão de Trolls.
O malware rouba “SSH, FileZilla, arquivos/diretórios de unidade C, navegadores, informações do sistema (e) capturas de tela” de sistemas infectados, disse a empresa sul-coreana de segurança cibernética S2W em um novo relatório técnico.
As ligações do Troll Stealer com o Kimsuky decorrem de suas semelhanças com famílias de malware conhecidas, porquê os malwares AppleSeed e AlphaSeed, que foram atribuídos ao grupo.
Kimsuky, também rastreado sob os nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball e Velvet Chollima, é muito sabido por sua propensão a roubar informações confidenciais em operações cibernéticas ofensivas.
No final de Novembro de 2023, os actores da prenúncio foram sancionados pelo Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA por recolherem informações para promover os objectivos estratégicos da Coreia do Setentrião.
O coletivo competidor, nos últimos meses, foi atribuído a ataques de spear-phishing direcionados a entidades sul-coreanas para fornecer uma variedade de backdoors, incluindo AppleSeed e AlphaSeed.
A estudo mais recente da S2W revela o uso de um dropper que se disfarça porquê um registo de instalação de programa de segurança de uma empresa sul-coreana chamada SGA Solutions para lançar o ladrão, dos quais nome vem do caminho “D:/~/repo/golang/src/root .go/s/troll/agent” que está incorporado nele.
“O dropper é executado porquê um instalador legítimo junto com o malware, e tanto o dropper quanto o malware são assinados com um certificado válido e legítimo da D2Innovation Co., LTD, sugerindo que o certificado da empresa foi realmente roubado”, disse a empresa.
Um recurso de destaque do Troll Stealer é sua capacidade de roubar a pasta GPKI em sistemas infectados, levantando a possibilidade de que o malware tenha sido utilizado em ataques direcionados a organizações administrativas e públicas no país.
Dada a privação de campanhas Kimsuky documentando o roubo de pastas GPKI, levantou-se a possibilidade de que o novo comportamento seja uma mudança de tática ou o trabalho de outro ator de prenúncio intimamente associado ao grupo que também tem chegada ao código-fonte do AppleSeed e AlphaSeed.
Também há sinais de que o responsável da prenúncio pode estar envolvido com um backdoor fundamentado em Go, codinome GoBear, que também é assinado com um certificado legítimo associado à D2Innovation Co., LTD e executa instruções recebidas de um servidor de comando e controle (C2).
“Descobriu-se que as strings contidas nos nomes das funções que ele labareda se sobrepõem aos comandos usados pelo BetaSeed, um malware backdoor fundamentado em C++ usado pelo grupo Kimsuky”, disse S2W. “É digno de nota que o GoBear adiciona a funcionalidade de proxy SOCKS5, que anteriormente não era suportada pelo malware backdoor do grupo Kimsuky.”
