Malware Durian vinculado al actor de amenazas norcoreano Kimsuky

Se ha observado que el grupo de amenazas norcoreano conocido como Kimsuky utiliza un nuevo malware basado en Golang llamado Durian en ataques cibernéticos dirigidos contra dos empresas de criptomonedas de Corea del Sur. Según los investigadores de seguridad, Durian es un malware no documentado previamente con capacidades avanzadas de puerta trasera que le permiten ejecutar comandos, descargar archivos y filtrar datos.

Los ataques ocurrieron en agosto y noviembre de 2023 e implicaron la explotación de software surcoreano legítimo para infiltrarse en los sistemas, aunque el método específico utilizado para comprometer el software aún no está claro. Lo que se sabe es que este software establece una conexión con el servidor de los atacantes para recuperar una carga útil maliciosa, iniciando el proceso de infección.

Cadena de infección del malware Durian

La etapa inicial sirve como instalador de malware adicional, estableciendo persistencia en el host y allanando el camino para un cargador de malware que finalmente ejecuta Durian. Durian, a su vez, se utiliza para introducir más software malicioso, incluida la puerta trasera preferida de Kimsuky, AppleSeed, una herramienta proxy personalizada llamada LazyLoad y herramientas legítimas como ngrok y Chrome Remote Desktop.

Los investigadores notaron que los atacantes tenían como objetivo robar datos almacenados en el navegador, como cookies y credenciales de inicio de sesión. Un aspecto notable del ataque fue el uso de LazyLoad, anteriormente asociado con Andariel, un subgrupo dentro del Grupo Lazarus, lo que sugiere una posible colaboración o superposición entre los actores de la amenaza.

Kimsuky ha estado activo desde al menos 2012 y también es conocido por otros nombres, incluidos APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 y Velvet Chollima. Se cree que el grupo opera bajo el Centro de Investigación 63, una división de la Oficina General de Reconocimiento (RGB) de Corea del Norte, la principal agencia de inteligencia militar del país.

El objetivo principal de los actores de Kimsuky, como lo resaltaron el FBI y la NSA de EE. UU. en una alerta reciente, es recopilar datos robados y conocimientos geopolíticos valiosos para el régimen norcoreano comprometiendo a analistas políticos y otros expertos.