El grupo de amenazas persistentes avanzadas (APT) Kimsuky, también conocido como Springtail, vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, ha sido observado desplegando una versión para Linux de su puerta trasera GoBear, denominada Gomir, en una campaña dirigida a organizaciones surcoreanas.
Symantec, parte de Broadcom, informó que Gomir es «estructuralmente casi idéntica a GoBear, con un amplio intercambio de código entre variantes de malware«. La funcionalidad de GoBear que depende del sistema operativo se ajusta o se reimplementa en Gomir.
GoBear fue documentado por primera vez por la empresa de seguridad surcoreana S2W en febrero de 2024, en relación con una campaña que entregó el malware Troll Stealer, también conocido como TrollAgent. Este malware se superpone con las familias de malware Kimsuky, como AppleSeed y AlphaSeed.
El Centro de Inteligencia de Seguridad AhnLab (ASEC) reveló que el malware se distribuye a través de programas de seguridad troyanizados descargados de un sitio web de una asociación surcoreana relacionada con la construcción. Esto incluye programas como nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort. En 2020, VeraPort fue objeto de un ataque a la cadena de suministro de software por parte del Grupo Lazarus.
Symantec también observó que Troll Stealer se entregaba a través de instaladores fraudulentos para Wizvera VeraPort, aunque el mecanismo exacto de distribución sigue siendo desconocido.
GoBear contiene nombres de funciones similares a una puerta trasera Springtail más antigua conocida como BetaSeed, escrita en C++, lo que sugiere un origen común. Este malware admite la ejecución de comandos recibidos de un servidor remoto y se propaga a través de cuentagotas que se hacen pasar por instaladores falsos de aplicaciones de una organización de transporte coreana.
Gomir, la versión de Linux, admite hasta 17 comandos, permitiendo operaciones de archivos, inicio de un proxy inverso, pausa de comunicaciones C2, ejecución de comandos de shell y terminación de su propio proceso.
Conclusión
La campaña de Kimsuky subraya que los paquetes de instalación de software y las actualizaciones se están convirtiendo en vectores de infección favoritos para los actores de espionaje de Corea del Norte. El software atacado parece estar cuidadosamente seleccionado para maximizar las posibilidades de infectar objetivos en Corea del Sur.
Fuente: The Hacker News
