Malware Durian vinculado ao ator norte-coreano de ameaças Kimsuky

O grupo de ameaças norte-coreano conhecido como Kimsuky foi observado usando um novo malware baseado em Golang chamado Durian em ataques cibernéticos direcionados contra duas empresas sul-coreanas de criptomoeda. De acordo com pesquisadores de segurança, Durian é um malware anteriormente não documentado com recursos avançados de backdoor que permitem executar comandos, baixar arquivos e exfiltrar dados.

Os ataques ocorreram em agosto e novembro de 2023 e envolveram a exploração de software sul-coreano legítimo para se infiltrar nos sistemas, embora o método específico utilizado para comprometer o software permaneça obscuro. O que se sabe é que este software estabelece uma conexão com o servidor dos invasores para recuperar uma carga maliciosa, iniciando o processo de infecção.

Cadeia de infecção do malware Durian

O estágio inicial serve como instalador de malware adicional, estabelecendo persistência no host e abrindo caminho para um malware carregador que, em última análise, executa o Durian. Durian, por sua vez, é usado para introduzir mais software malicioso, incluindo o backdoor preferido de Kimsuky, AppleSeed, uma ferramenta de proxy personalizada chamada LazyLoad e ferramentas legítimas como ngrok e Chrome Remote Desktop.

Os pesquisadores observaram que os invasores pretendiam roubar dados armazenados no navegador, como cookies e credenciais de login. Um aspecto notável do ataque foi o uso do LazyLoad, anteriormente associado ao Andariel, um subgrupo do Grupo Lazarus, sugerindo potencial colaboração ou sobreposição entre os atores da ameaça.

Kimsuky está ativo desde pelo menos 2012 e também é conhecido por outros nomes, incluindo APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima. Acredita-se que o grupo opere sob o 63º Centro de Pesquisa, uma divisão do Reconnaissance General Bureau (RGB) da Coreia do Norte, a principal agência de inteligência militar do país.

O objectivo principal dos intervenientes do Kimsuky, tal como salientado pelo FBI e pela NSA dos EUA num alerta recente, é recolher dados roubados e informações geopolíticas valiosas para o regime norte-coreano, comprometendo analistas políticos e outros especialistas.