Los actores de amenazas nunca dejan de innovar, buscando constantemente nuevas formas de infiltrarse, robar y causar estragos en los sistemas de información de individuos, empresas y gobiernos. Una de las últimas tácticas que ha surgido en este dinámico escenario es el uso de herramientas desarrolladas en Go (también conocido como Golang), un lenguaje de programación conocido por su simplicidad, eficiencia y capacidad para operar en múltiples plataformas.
Kimsuky, es un conjunto de ciberespionaje con supuestos vínculos con Corea del Norte. Este grupo ha estado activo desde al menos 2012 y se ha centrado principalmente en recopilar información sensible de individuos, empresas y organizaciones gubernamentales, particularmente aquellas relacionadas con la seguridad nacional, la defensa y la política exterior en países percibidos como hostiles o competitivos hacia los intereses norcoreanos.
Conoce más sobre: Hackers de Kimsuky usa AppleSeed, Meterpreter y TinyNuke en Ataques
Se presume que el grupo estatal-nación vinculado a Corea del Norte, conocido como Kimsuky, está utilizando un nuevo malware de robo de información llamado Troll Stealer, desarrollado en Golang, previamente no documentado.
Según un informe técnico de la empresa surcoreana de ciberseguridad S2W, Troll Stealer está diseñado para robar una variedad de datos, incluyendo credenciales SSH, información de navegadores, capturas de pantalla y archivos de sistemas infectados.
Las similitudes entre Troll Stealer y otras familias de malware conocidas, como AppleSeed y AlphaSeed, sugieren una conexión con el grupo Kimsuky. Este grupo, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Nickel Kimball y Velvet Chollima, es conocido por llevar a cabo operaciones cibernéticas ofensivas para robar información sensible.
En noviembre de 2023, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó a los actores de amenazas asociados con Kimsuky por sus actividades de recopilación de inteligencia en apoyo a los objetivos estratégicos de Corea del Norte.
Recientemente, se ha atribuido a Kimsuky una serie de ataques de phishing dirigidos a entidades surcoreanas, utilizando puertas traseras como AppleSeed y AlphaSeed.
El análisis más reciente de S2W revela que Troll Stealer se distribuye mediante un dropper que se hace pasar por un archivo de instalación de un programa de seguridad surcoreano llamado SGA Solutions. Este dropper y el malware en sí están firmados con un certificado legítimo de una empresa llamada D2Innovation Co., LTD, lo que sugiere que el certificado fue robado.
Una característica destacada de Troll Stealer es su capacidad para robar certificados GPKI emitidos por el gobierno de Corea del Sur, lo que indica que el malware puede ser utilizado en ataques dirigidos a organizaciones administrativas y públicas del país.
Se ha observado un nuevo comportamiento en las operaciones de Kimsuky, incluyendo el posible desarrollo de una puerta trasera llamada GoBear, firmada con un certificado asociado a D2Innovation Co., LTD. Esta puerta trasera ejecuta instrucciones recibidas de un servidor de comando y control (C2). Además, GoBear muestra similitudes con BetaSeed, un malware de puerta trasera utilizado por Kimsuky, pero agrega funcionalidades nuevas, como el soporte para proxy SOCKS5.
También te podrá interesar: Crosslock Ransomware: Entendiendo el Nuevo Malware Basado en Golang
Frente a amenazas como "Troll", las organizaciones deben adoptar un enfoque multicapa para la seguridad cibernética. Esto incluye:
Conoce más sobre: Microsoft Defender for Endpoints: Protección Avanzada
La aparición del Golang Stealer "Troll" de Kimsuky marca un nuevo capítulo en el juego del gato y el ratón entre los actores de amenazas y los defensores de la ciberseguridad. La elección de Golang por parte de estos grupos subraya la necesidad de vigilancia constante, innovación en seguridad y una cultura de concienciación sobre ciberseguridad en todas las organizaciones.
Mientras el panorama de amenazas continúe evolucionando, solo a través de la adaptación continua y la colaboración entre las entidades afectadas podemos esperar mantener la delantera en esta interminable carrera armamentista digital.