L’acteur nord-coréen de la menace suivi sous le nom de Kimsuky a été observé en train de déployer un malware basé sur Golang, jusqu’alors non documenté, baptisé Durian, dans le cadre de cyberattaques hautement ciblées visant deux sociétés sud-coréennes de crypto-monnaie.

“Durian dispose d’une fonctionnalité complète de porte dérobée, permettant l’exécution de commandes délivrées, le téléchargement de fichiers supplémentaires et l’exfiltration de fichiers”, a déclaré Kaspersky dans son rapport sur les tendances APT pour le premier trimestre 2024.

Les attaques, qui ont eu lieu en août et novembre 2023, impliquaient l’utilisation d’un logiciel légitime exclusif à la Corée du Sud comme voie d’infection, bien que le mécanisme précis utilisé pour manipuler le programme ne soit pas clair pour le moment.

Ce que l’on sait, c’est que le logiciel établit une connexion avec le serveur de l’attaquant, conduisant à la récupération d’une charge utile malveillante qui déclenche la séquence d’infection.

La première étape sert d’installateur pour des logiciels malveillants supplémentaires et de moyen d’établir la persistance sur l’hôte. Il ouvre également la voie à un malware de chargement qui finit par exécuter Durian.

Durian, pour sa part, est utilisé pour introduire davantage de logiciels malveillants, notamment AppleSeed , la porte dérobée de prédilection de Kimsuky, un outil proxy personnalisé connu sous le nom de LazyLoad, ainsi que d’autres outils légitimes comme ngrok et Chrome Remote Desktop.

“En fin de compte, l’acteur a implanté le malware pour voler les données stockées dans le navigateur, notamment les cookies et les identifiants de connexion”, a déclaré Kaspersky.

Un aspect notable de l’attaque est l’utilisation de LazyLoad, qui a déjà été utilisé par Andariel, un sous-cluster du groupe Lazarus , soulevant la possibilité d’une collaboration potentielle ou d’un chevauchement tactique entre les deux acteurs de la menace.

Le groupe Kimsuky est connu pour être actif depuis au moins 2012, ses cyberactivités malveillantes étant également surveillées sous les noms d’APT43, Black Banshee, Emerald Sleet (anciennement Thallium), Springtail, TA427 et Velvet Chollima.

Il est considéré comme un élément subordonné du 63e Centre de recherche, un département du Bureau général de reconnaissance (RGB), la première organisation de renseignement militaire du royaume ermite.

“La mission principale des acteurs de Kimsuky est de fournir des données volées et des informations géopolitiques précieuses au régime nord-coréen en compromettant les analystes politiques et d’autres experts”, ont déclaré le Bureau fédéral d’enquête américain (FBI) et l’Agence nationale de sécurité (NSA) dans une alerte. plus tôt ce mois-ci.

« Des compromissions réussies permettent en outre aux acteurs de Kimsuky de créer des courriels de spear phishing plus crédibles et plus efficaces, qui peuvent ensuite être exploités contre des cibles plus sensibles et de plus grande valeur. »

L’adversaire état-nation a également été lié à des campagnes qui fournissent un cheval de Troie d’accès à distance et un voleur d’informations basé sur C# appelé TutorialRAT qui utilise Dropbox comme “base pour leurs attaques afin d’échapper à la surveillance des menaces”, a déclaré Symantec, propriété de Broadcom .

“Cette campagne semble être une extension de la campagne de menace BabyShark d’APT43 et utilise des techniques typiques de spear phishing, notamment l’utilisation de fichiers de raccourci (LNK)”, ajoute le communiqué.

Ce développement intervient alors que l’AhnLab Security Intelligence Center (ASEC) a détaillé une campagne orchestrée par un autre groupe de piratage parrainé par l’État nord-coréen appelé ScarCruft , qui cible les utilisateurs sud-coréens avec des fichiers de raccourci Windows (LNK) qui aboutissent au déploiement de RokRAT .

Le collectif antagoniste, également connu sous les noms d’APT37, InkySquid, RedEyes, Ricochet Chollima et Ruby Sleet, serait aligné sur le ministère de la Sécurité d’État (MSS) de la Corée du Nord et chargé de la collecte secrète de renseignements à l’appui des stratégies militaires, politiques du pays. , et les intérêts économiques.

“Les fichiers de raccourci récemment confirmés (*.LNK) ciblent les utilisateurs sud-coréens, en particulier ceux liés à la Corée du Nord”, a déclaré l’ASEC .