Investigadores de seguridad vinculan nuevas herramientas de ciberespionaje con la APT Kimsuky

Investigadores de seguridad han descubierto nuevas herramientas maliciosas que podrían formar parte del arsenal del grupo de hackers norcoreano Kimsuky. Este nuevo componente está diseñado para recolectar información de sus víctimas y evitar su descubrimiento por parte de soluciones de seguridad.

La semana pasada, un grupo de autoridades estadounidenses y agrupaciones civiles publicaron una alerta conjunta sobre Kimsuky. En aquella alerta, dijeron que la amenaza estaba dirigida principalmente a los sectores corporativos, aunque también se habían visto casos frecuentes de ataques a agencias gubernamentales y organizaciones políticas, principalmente de Estados Unidos, Europa, Japón, Corea del Sur y Rusia.

La empresa de seguridad estadounidense Cybereason dijo que, después de ver la alerta del gobierno de los Estados Unidos, los investigadores combinaron estos descubrimientos con sus propias investigaciones, lo que les permitió identificar el spyware KGH_SPY, el componente CSPY_Loader y una infraestructura del servidor “que muestra claros puntos en común con infraestructuras de Kimsuky que se habían descubierto antes”. Si bien no existe certeza sobre el vínculo de los descubrimientos de Cybereason con Kimsuky, los expertos de la compañía creen que hay una posibilidad “Moderada-alta” de que estén relacionados.

Los investigadores de Cybereason llevan años siguiéndole el rastro a Kimsuky ─ también conocido como Thallium, Velvet Chollima y Black Banshee ─, y esta semana dieron a conocer una herramienta que creen que podría formar parte de su arsenal de amenazas: un programa espía llamado KGH_SPY que se dedica a recolectar los datos de sus víctimas, espiarlas, ejecutar comandos de forma arbitraria e instalar puertas traseras, entre otras cosas.

Uno de los componentes de este programa espía puede robar información de navegadores, del Administrador de Credenciales de Windows, WINSCP y clientes de correo. “La herramienta que acabamos de descubrir parece especializarse en recolectar información, probablemente con fines de espionaje”, dijo Assaf Dahan, Director de Investigación de Amenazas en Cybereason.

Por si esto fuera poco, CSPY también tiene el componente CSPY_LOADER, que ayuda a burlar a las herramientas de seguridad para mantener el programa malicioso instalado en el equipo el mayor tiempo posible. Este componente también determina si es seguro descargar componentes adicionales en el sistema.

Los investigadores no están seguros de si se ha usado CSPY_Loader para facilitar la difusión de KHG_SPY, pero creen que ambos están relacionados con Kimsuky. “No hemos visto ambas herramientas trabajando en conjunto, pero eso no significa que no lo hayan hecho antes”, dijo Dahan. “Además, parece que ambas herramientas forman parte de la misma infraestructura, tienen códigos similares y comparten procedimientos. En base a eso, se puede dar la hipótesis de que ambas pueden haber sido desarrolladas por el mismo equipo”.

Fuentes
More suspected North Korean malware identified after US alert on Kimsuky hackers • Cyberscoop
New Tools Make North Korea’s Kimsuky Group More Dangerous • Dark Reading
North Korean Group Kimsuky Targets Government Agencies With New Malware • Security Week