El grupo de hackers Kimsuky implementa la backdoor Gomir de Linux en los ciberataques de Corea del Sur

El grupo de amenazas persistentes avanzadas (APT) Kimsuky (también conocido como Springtail), asociado con la Oficina General de Reconocimiento (RGB) de Corea del Norte, ha sido detectado implementando una versión para Linux de su puerta trasera GoBear en una campaña dirigida a organizaciones surcoreanas.

La puerta trasera, denominada Gomir, es «estructuralmente casi idéntica a GoBear, con un amplio intercambio de código entre las variantes de malware. Cualquier funcionalidad de GoBear que depende del sistema operativo está ausente o ha sido reimplementada en Gomir», según el equipo de cazadores de amenazas de Symantec, parte de Broadcom, en un nuevo informe.

GoBear fue documentado por primera vez por la firma de seguridad surcoreana S2W a principios de febrero de 2024 en relación con una campaña que distribuyó un malware llamado Troll Stealer (también conocido como TrollAgent), el cual comparte características con familias de malware conocidas de Kimsuky como AppleSeed y AlphaSeed.

Un análisis posterior realizado por el Centro de Inteligencia de Seguridad de AhnLab (ASEC) reveló que el malware se distribuye a través de programas de seguridad troyanizados descargados desde un sitio web no especificado de una asociación surcoreana relacionada con la construcción.

Esto incluye nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort, este último previamente sometido a un ataque a la cadena de suministro de software por el grupo Lazarus en 2020.

Symantec también observó que el malware Troll Stealer se distribuye a través de instaladores fraudulentos para Wizvera VeraPort, aunque el mecanismo exacto de distribución de los paquetes de instalación aún se desconoce.

«GoBear también contiene nombres de funciones similares a una antigua puerta trasera de Springtail conocida como BetaSeed, escrita en C++, lo que sugiere que ambas amenazas tienen un origen común», indicó la compañía.

Se informa que el malware, que tiene la capacidad de ejecutar comandos recibidos de un servidor remoto, también se propaga a través de droppers que se hacen pasar por un instalador falso de una aplicación para una organización de transporte coreana.

Su contraparte en Linux, Gomir, soporta hasta 17 comandos, permitiendo a sus operadores realizar operaciones de archivos, iniciar un proxy inverso, pausar las comunicaciones de comando y control (C2) durante un tiempo determinado, ejecutar comandos de shell y finalizar su propio proceso.

«Esta última campaña de Springtail proporciona más evidencia de que los paquetes de instalación de software y las actualizaciones son ahora uno de los vectores de infección preferidos por los actores de espionaje de Corea del Norte», dijo Symantec.

«El software objetivo parece haber sido cuidadosamente seleccionado para maximizar las posibilidades de infectar a sus objetivos en Corea del Sur.»

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *