Comparte este artículo
Según se informa, Kimsuky, un grupo de hackers de Corea del Norte, ha estado utilizando una nueva variante de malware llamada “Durian” para lanzar ataques dirigidos a empresas de cifrado de Corea del Sur.
La incidencia se destaca en un informe publicado recientemente. informe de inteligencia de amenazas de Kaspersky. Según la investigación de Kaspersky, el malware se implementa específicamente para romper y explotar el software de seguridad utilizado por las empresas criptográficas de Corea del Sur, de las cuales se han identificado al menos dos.
“Basándonos en nuestra telemetría, identificamos dos víctimas dentro del sector de criptomonedas de Corea del Sur. El primer compromiso se produjo en agosto de 2023, seguido de un segundo en noviembre de 2023. En particular, nuestra investigación no descubrió ninguna víctima adicional durante estos casos, lo que indica un enfoque de selección muy centrado por parte del actor”, afirma el informe.
El malware Durian es un instalador de “etapa inicial”. Introduce malware complementario y establece un mecanismo de persistencia dentro del dispositivo o instancia que ataca. Una vez ejecutado, el malware genera un cargador de etapas y lo agrega al sistema operativo expuesto para su ejecución automática. La instalación del malware finaliza con una carga útil culminante escrita en Golang, un lenguaje de programación de código abierto desarrollado por Google.
La carga útil final permite la ejecución de comandos remotos que indican al dispositivo explotado que descargue y extraiga archivos. La elección del lenguaje también es sospechosa debido a la eficiencia de Golang para máquinas en red y grandes bases de código.
Curiosamente, el informe de Kaspersky también reveló que LazyLoad, una de las herramientas implementadas por Durian, ha sido utilizada por Andariel, un subgrupo dentro del famoso consorcio de piratería norcoreano Lazarus Group. Este hallazgo sugiere una posible conexión entre Kimsuky y Lazarus, aunque Kaspersky describió el vínculo como “tenue” en el mejor de los casos.
Lazarus Group, que surgió por primera vez en 2009, se ha establecido como uno de los grupos de piratas informáticos criptográficos más notorios. El detective independiente en cadena ZachXBT recientemente reveló que el grupo había lavado con éxito más de 200 millones de dólares en criptomonedas obtenidas ilícitamente entre 2020 y 2023. En total, Lazarus está acusado de robar más de 3 mil millones de dólares en criptoactivos en los seis años previos a 2023.
La semana pasada, un tribunal estadounidense ordenó el decomiso de 279 cuentas criptográficas vinculadas a incidentes de amenazas de Corea del Norte.
Comparte este artículo