Grupo de hackers Kimsuky ataca firmas cripto surcoreanas con nuevo malware — informe

Compartir este artículo

Kimsuky, un grupo de hackers norcoreano, al parecer ha estado utilizando una nueva variante de malware llamada «Durian» para lanzar ataques dirigidos contra firmas cripto surcoreanas.

El incidente se destaca en un reciente informe de inteligencia de amenazas de Kaspersky. Según la investigación de Kaspersky, el malware se despliega específicamente para romper y explotar el software de seguridad utilizado por las empresas cripto surcoreanas, de las cuales se han identificado al menos dos.

«Con base en nuestra telemetría, identificamos a dos víctimas dentro del sector de criptomonedas surcoreano. El primer compromiso ocurrió en agosto de 2023, seguido por un segundo en noviembre de 2023. Notablemente, nuestra investigación no descubrió víctimas adicionales durante estos incidentes, indicando un enfoque de focalización extremadamente preciso por parte del actor,» afirmó el informe.

El malware Durian es un instalador de «etapa inicial». Introduce malware suplementario y establece un mecanismo de persistencia dentro del dispositivo o instancia que ataca. Una vez ejecutado, el malware genera un cargador de etapa y lo añade al sistema operativo expuesto para su ejecución automática. La instalación del malware se finaliza con una carga útil culminante escrita en Golang, un lenguaje de programación de código abierto desarrollado por Google.

La carga final luego permite la ejecución de comandos remotos que instruyen al dispositivo explotado para descargar y exfiltrar archivos. La elección del lenguaje también es sospechosa debido a la eficiencia de Golang para máquinas en red y bases de código grandes.

Interesantemente, el informe de Kaspersky también reveló que LazyLoad, una de las herramientas desplegadas por Durian, ha sido utilizada por Andariel, un subgrupo dentro del notorio consorcio de hackers norcoreano grupo Lazarus. Este hallazgo sugiere una posible conexión entre Kimsuky y Lazarus, aunque Kaspersky describió el vínculo como «tenue» en el mejor de los casos.

El grupo Lazarus, que surgió por primera vez en 2009, se ha establecido como uno de los grupos de hackers cripto más notorios. El investigador independiente de cadena ZachXBT recientemente reveló que el grupo había lavado con éxito más de $200 millones en cripto obtenido ilícitamente entre 2020 y 2023. En total, Lazarus está acusado de robar más de $3 mil millones en criptoactivos en los seis años hasta 2023.

Compartir este artículo