Kaspersky, la empresa de seguridad informática, publicó su informe trimestral en el que reveló que Kimsuky, un grupo de hackers de Corea del Norte, creó un malware con el que atacó empresas de criptomonedas de Corea del Sur.
Contenido:
Reporte de ciberseguridad
A través de su perfil oficial en X, Kaspersky publicó el enlace hacia su más reciente Informe de Tendencias APT elaborado por el Equipo Global de Investigación y Análisis (GReAT) de la compañía:
En el informe que publica los resúmenes de las investigaciones de amenazas, Kaspersky reveló que, a finales de 2023, descubrieron una variación de malware creada por Kimsuky con la que estuvieron llevando a cabo ataques dirigidos a empresas de criptomonedas de origen surcoreano.
Detalles del malware empleado por los hackers
Según lo expuesto, Kimsuky habría tomado un software legítimo y exclusivo desarrollado por criptoempresas de Corea del Sur para versionarlo como un malware generador de cargas automáticas al servicio de Windows.
Al final, el ejecutable termina instalando un archivo malicioso bautizado como “Durian” y basado en Golang, un lenguaje de programación de código abierto. Respecto al nuevo malware, Kaspersky señala:
“Durian cuenta con una completa funcionalidad de puerta trasera, que permite la ejecución de comandos entregados, descargas de archivos adicionales y exfiltración de archivos. Con la ayuda de Durian, el operador implementó varios métodos preliminares para mantener una conexión con la víctima.”
Además de instalar malware, el grupo de hackers también obtuvo acceso a las máquinas de destino a través de un proxy implementado en herramientas legítimas del sistema. A su vez, pudieron robar información relacionada con cookies de navegador, datos almacenados y credenciales de inicio de sesión.
Sospechas sobre los responsables
Las empresas de criptomonedas vinculadas con los operativos de Kimsuky fueron atacadas en agosto y noviembre de 2023, luego de eso, no se han vuelto a registrar incidentes de ciberseguridad relacionados con el malware desarrollado por los hackers.
A pesar de que Kaspersky indica que el uso de ciertas herramientas particulares están asociadas con Kimsuky, los ataques también podrían tener relación con Andariel; otro grupo de piratas informáticos financiados por el régimen norcoreano.
Andariel fue señalado por las autoridades de Corea del Sur en diciembre de 2023 por realizar ataques de ransomware mediante los que lograron robar cerca de $470 millones a través de la obtención de tecnologías de empresas de defensa.
Sumado a esto, cabe mencionar que se trata de un subgrupo perteneciente a Lazarus Group; el grupo de hackers más conocido de Corea del Norte y acusado de robar más de $3.000 millones en criptomonedas en años recientes.
