Um instalador de uma instrumento provavelmente usada pelo Departamento Consular Russo do Ministério das Relações Exteriores (MID) foi invadido por um backdoor para entregar um trojan de aproximação remoto chamado Konni RATO (também publicado porquê UpDog).
As conclusões vêm da empresa alemã de segurança cibernética DCSO, que relacionou a atividade porquê originária dos atores do nexo da República Popular Democrática da Coreia (RPDC) que visam a Rússia.
O cluster de atividades Konni (também publicado porquê Opal Sleet, Osmium ou TA406) tem um padrão estabelecido de implantação de Konni RAT contra entidades russas, com o ator da ameaço também ligado a ataques dirigidos contra MID pelo menos desde outubro de 2021.
Em novembro de 2023, o Fortinet FortiGuard Labs revelou o uso de documentos do Microsoft Word em russo para fornecer malware capaz de coletar informações confidenciais de hosts Windows comprometidos.
DCSO disse que o empacotamento do Konni RAT nos instaladores de software é uma técnica anteriormente adotado pelo grupo em outubro de 2023, quando foi desvelado que ele utilizava um software russo de enunciação de impostos chamado Spravki BK para repartir o trojan.
“Neste caso, o instalador backdoor parece ser de uma instrumento chamada ‘Statistika KZU’ (Cтатистика КЗУ)”, disse a empresa com sede em Berlim.
“Com base nos caminhos de instalação, nos metadados dos arquivos e nos manuais do usuário incluídos no instalador, (…) o software é talhado ao uso interno do Ministério das Relações Exteriores da Rússia (MID), especificamente para a retransmissão de arquivos de relatórios anuais dos postos consulares estrangeiros (КЗУ — консульские загранучреждения) para o Departamento Consular do MID através de um meato seguro.”
O instalador trojanizado é um registo MSI que, quando iniciado, inicia a sequência de infecção para estabelecer contato com um servidor de comando e controle (C2) para esperar mais instruções.
Acredita-se que o trojan de aproximação remoto, que vem com recursos para transferência de arquivos e realização de comandos, tenha sido posto em uso já em 2014 e também por outros atores de ameaças norte-coreanos conhecidos porquê Kimsuky e ScarCruft (também publicado porquê APT37).
Atualmente não está simples porquê os agentes da ameaço conseguiram obter o instalador, visto que ele não pode ser obtido publicamente. Mas suspeita-se que a longa história de operações de espionagem dirigidas à Rússia possa tê-los ajudado a identificar possíveis ferramentas para ataques subsequentes.
Embora o facto de a Coreia do Setentrião ter porquê fim a Rússia não seja novo, o desenvolvimento surge num contexto de crescente proximidade geopolítica entre os dois países. A mídia estatal do Reino Eremita informou esta semana que o presidente russo, Vladimir Putin, deu ao líder Kim Jong Un um carruagem de luxo de fabricação russa.
“Até claro ponto, isto não deveria ser uma surpresa; não se esperaria que o aumento da proximidade estratégica substituísse totalmente as necessidades de recolha existentes na RPDC, com uma urgência contínua por segmento da RPDC de ser capaz de estimar e verificar o planeamento da política externa russa e objetivos”, disse DCSO.
