El grupo de amenazas persistentes avanzadas (APT) Kimsuky (también conocido como Springtail), vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, ha desplegado una versión para Linux de su puerta trasera GoBear como parte de una campaña dirigida a organizaciones surcoreanas.
La puerta trasera, cuyo nombre en clave es Gomir, es "estructuralmente casi idéntica a GoBear, con un amplio intercambio de código entre variantes de malware", afirma en un nuevo informe el equipo Symantec Threat Hunter, que forma parte de Broadcom. "Cualquier funcionalidad de GoBear que dependa del sistema operativo está ausente o reimplementada en Gomir".
Los investigadores de la empresa de seguridad surcoreana S2W descubrieron la campaña por primera vez en febrero de 2024. Se observó a los autores de la amenaza distribuyendo una nueva familia de malware denominada Troll Stealer mediante paquetes de instalación de software troyanizados. Troll Stealer soporta múltiples capacidades de robo, permite a los operadores recopilar archivos, capturas de pantalla, datos del navegador e información del sistema. El código malicioso está escrito en Go, y los investigadores observaron que Troll Stealer contenía una gran cantidad de código superpuesto con el anterior malware Kimsuky.
Puede leer también | Herramientas esenciales para proteger tu Sistema Operativo Linux de Hackers
GoBear fue documentado por primera vez por la empresa de seguridad surcoreana S2W a principios de febrero de 2024 en relación con una campaña que distribuía un malware llamado Troll Stealer (también conocido como TrollAgent), que se solapa con conocidas familias de malware Kimsuky como AppleSeed y AlphaSeed.
Un análisis posterior realizado por el Centro de Inteligencia de Seguridad AhnLab (ASEC) reveló que el malware se distribuye a través de programas de seguridad troyanizados descargados del sitio web de una asociación surcoreana relacionada con la construcción no especificada.
Se trata de nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort, el último de los cuales fue objeto anteriormente de un ataque a la cadena de suministro de software por parte del Grupo Lazarus en 2020.
Puede leer también | Consejos para Proteger SSH en su Servidor o Escritorio Linux
Symantec dijo que también observó que el malware Troll Stealer se entrega a través de instaladores falsos para Wizvera VeraPort, aunque el mecanismo exacto de distribución por el cual los paquetes de instalación se entregan es actualmente desconocido.
"GoBear también contiene nombres de funciones similares a un backdoor más antiguo de Springtail conocido como BetaSeed, que estaba escrito en C++, lo que sugiere que ambas amenazas tienen un origen común", señaló la compañía.
El malware, que soporta capacidades para ejecutar comandos recibidos desde un servidor remoto, también se propagaría a través de droppers que se hacen pasar por un falso instalador de una aplicación para una organización de transporte coreana.
Puede leer también | Las mejores herramientas de código abierto para proteger su servidor Linux
Su homólogo en Linux, Gomir, admite hasta 17 comandos, lo que permite a sus operadores realizar operaciones con archivos, iniciar un proxy inverso, pausar las comunicaciones de comando y control (C2) durante un tiempo determinado, ejecutar comandos de shell y terminar su propio proceso.
"Esta última campaña de Springtail es una prueba más de que los paquetes de instalación y las actualizaciones de software se encuentran entre los vectores de infección más utilizados por los espías norcoreanos", afirma Symantec.
"El software atacado parece haber sido cuidadosamente elegido para maximizar las posibilidades de infectar a sus objetivos con sede en Corea del Sur".