Un logiciel malveillant Durian lié à l'acteur menaçant nord-coréen Kimsuky

Le groupe de menace nord-coréen connu sous le nom de Kimsuky a été observé en train d'utiliser un nouveau malware basé sur Golang appelé Durian dans des cyberattaques ciblées contre deux sociétés sud-coréennes de crypto-monnaie. Selon les chercheurs en sécurité, Durian est un malware jusqu'alors non documenté doté de capacités avancées de porte dérobée lui permettant d'exécuter des commandes, de télécharger des fichiers et d'exfiltrer des données.

Les attaques ont eu lieu en août et novembre 2023 et impliquaient l'exploitation d'un logiciel sud-coréen légitime pour infiltrer des systèmes, bien que la méthode spécifique utilisée pour compromettre le logiciel reste floue. Ce que l'on sait, c'est que ce logiciel établit une connexion avec le serveur des attaquants pour récupérer une charge utile malveillante, déclenchant ainsi le processus d'infection.

Chaîne d'infection du logiciel malveillant Durian

La première étape sert d'installateur pour des logiciels malveillants supplémentaires, établissant la persistance sur l'hôte et ouvrant la voie à un logiciel malveillant de chargement qui exécute finalement Durian. Durian, à son tour, est utilisé pour introduire davantage de logiciels malveillants, notamment la porte dérobée préférée de Kimsuky, AppleSeed, un outil proxy personnalisé nommé LazyLoad, et des outils légitimes comme ngrok et Chrome Remote Desktop.

Les chercheurs ont noté que les attaquants visaient à voler les données stockées dans le navigateur, telles que les cookies et les identifiants de connexion. Un aspect notable de l’attaque était l’utilisation de LazyLoad, auparavant associé à Andariel, un sous-groupe du groupe Lazarus, suggérant une collaboration ou un chevauchement potentiel entre les acteurs de la menace.

Kimsuky est actif depuis au moins 2012 et est également connu sous d'autres noms, notamment APT43, Black Banshee, Emerald Sleet (anciennement Thallium), Springtail, TA427 et Velvet Chollima. Le groupe fonctionnerait sous l'égide du 63e Centre de recherche, une division du Bureau général de reconnaissance (RGB) de Corée du Nord, la première agence de renseignement militaire du pays.

L’objectif principal des acteurs de Kimsuky, comme l’ont souligné le FBI américain et la NSA dans une récente alerte, est de rassembler des données volées et des informations géopolitiques précieuses pour le régime nord-coréen en compromettant les analystes politiques et d’autres experts.