La amenaza de puerta trasera Gomir implementada por una amenaza persistente avanzada que inicia ciberataques coreanos
El grupo Kimsuky de amenazas persistentes avanzadas (APT), también conocido como Springtail, ha lanzado una nueva campaña de ciberespionaje. Este grupo, vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, está implementando ahora una variante Linux de su puerta trasera GoBear, llamada Gomir, dirigida a organizaciones surcoreanas.
Table of Contents
Antecedentes de Kimsuky y GoBear
El grupo Kimsuky tiene un historial de atacar a entidades surcoreanas con diversos programas maliciosos. La puerta trasera GoBear, en la que se basa Gomir, fue documentada por primera vez por la empresa de seguridad surcoreana S2W a principios de febrero de 2024. Esta campaña entregó un malware llamado Troll Stealer, que comparte características con otras familias de malware Kimsuky como AppleSeed y AlphaSeed.
El surgimiento de Gomir
Según el equipo Symantec Threat Hunter, Gomir es casi idéntico a GoBear, con una superposición significativa en el código entre los dos. Cualquier funcionalidad dependiente del sistema operativo en GoBear se ha omitido o se ha reimplementado en Gomir. Esta puerta trasera admite hasta 17 comandos, lo que permite a sus operadores ejecutar diversas tareas, como operaciones de archivos, iniciar un proxy inverso, pausar las comunicaciones de comando y control (C2), ejecutar comandos de shell y finalizar su propio proceso.
Métodos de distribución
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) descubrió que el malware se distribuye a través de programas de seguridad troyanizados descargados del sitio web no especificado de una asociación surcoreana relacionada con la construcción. Estos programas comprometidos incluyen nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort. En particular, WIZVERA VeraPort fue objeto previamente de un ataque a la cadena de suministro de software por parte del Grupo Lazarus en 2020.
Symantec también observó que Troll Stealer se entregaba a través de instaladores no autorizados para Wizvera VeraPort. Sin embargo, se desconoce el mecanismo de distribución exacto de estos paquetes de instalación. Además, el malware se propaga a través de droppers que se hacen pasar por instaladores falsos de aplicaciones relacionadas con una organización de transporte coreana.
Orígenes comunes y funcionalidad
El análisis de Symantec indica que GoBear y Gomir comparten nombres de funciones con una puerta trasera Springtail más antigua llamada BetaSeed, escrita en C++. Esta similitud sugiere un origen común para estas amenazas. Ambas variantes de malware admiten capacidades para ejecutar comandos recibidos desde un servidor remoto, lo que destaca su versatilidad y potencial para actividades de espionaje extensas.
Implicaciones y conclusión
Esta última campaña subraya la creciente sofisticación de los actores de ciberespionaje norcoreanos. Al apuntar a paquetes de instalación de software y actualizaciones, maximizan las posibilidades de infectar a sus objetivos previstos en Corea del Sur. Los objetivos de software cuidadosamente elegidos indican un enfoque estratégico del ciberespionaje, cuyo objetivo es obtener acceso no autorizado a información confidencial.
La continua evolución y despliegue de puertas traseras como GoBear y Gomir ilustran la persistente amenaza que plantea el grupo Kimsuky APT. Las organizaciones, particularmente en Corea del Sur, deben permanecer alerta y mejorar sus medidas de ciberseguridad para defenderse contra ataques tan sofisticados.
