La amenaza de malware Troll Stealer se dirige a los usuarios de computadoras coreanos
Una amenaza cibernética descubierta recientemente ha puesto en riesgo a los usuarios de computadoras coreanos, ya que ha surgido un sofisticado malware denominado "Troll Stealer", que se sospecha está orquestado por el actor-estado-nación vinculado a Corea del Norte, Kimsuky. Este malware, elaborado con Golang, un lenguaje de programación, está diseñado para extraer sigilosamente información confidencial de sistemas infectados. La firma surcoreana de ciberseguridad S2W ha revelado el modus operandi de Troll Stealer, que incluye el robo de SSH, FileZilla, archivos/directorios de la unidad C, datos del navegador, información del sistema e incluso capturas de pantalla.
Table of Contents
Extracción sigilosa de datos
Las conexiones entre Troll Stealer y Kimsuky se derivan de su parecido con cepas de malware conocidas como AppleSeed y AlphaSeed, anteriormente atribuidas a este grupo adversario. Kimsuky, también identificado bajo varios alias como APT43 y ARCHIPELAGO, es famoso por sus actividades de ciberespionaje, a menudo dirigidas a adquirir datos confidenciales para promover los intereses estratégicos de Corea del Norte.
Espionaje estratégico
La gravedad de la amenaza que plantea Kimsuky quedó subrayada cuando, a finales de noviembre de 2023, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó al grupo por sus esfuerzos de recopilación de inteligencia. En los últimos meses, Kimsuky ha empleado tácticas de phishing para infiltrarse en objetivos de Corea del Sur, distribuyendo una variedad de puertas traseras, incluidas AppleSeed y AlphaSeed.
El análisis de S2W destaca el método de infiltración de Troll Stealer, que implica un gotero disfrazado que se hace pasar por un archivo de instalación de un programa de seguridad de una empresa surcoreana llamada SGA Solutions. Curiosamente, tanto el dropper como el malware llevan la firma de un certificado legítimo perteneciente a D2Innovation Co., LTD, lo que hace alusión a un posible robo de certificados.
Orientación gubernamental
Un aspecto particularmente preocupante de Troll Stealer es su capacidad para saquear la carpeta GPKI (Infraestructura de clave pública gubernamental) de los sistemas infectados, lo que indica un posible objetivo de organizaciones administrativas y públicas dentro de Corea. Este comportamiento difiere de campañas anteriores de Kimsuky, lo que lleva a especulaciones sobre cambios tácticos o la participación de otros actores de amenazas con acceso al código fuente de AppleSeed y AlphaSeed.
Además, los indicios sugieren la posible implicación de Kimsuky con otro malware, GoBear, que comparte similitudes con BetaSeed, una puerta trasera utilizada anteriormente. En particular, GoBear introduce la funcionalidad de proxy SOCKS5, una desviación del modus operandi habitual de Kimsuky.
La aparición de Troll Stealer subraya la persistente amenaza que representa Kimsuky para la ciberseguridad coreana. A medida que las amenazas cibernéticas continúan evolucionando, la vigilancia y las medidas sólidas de ciberseguridad siguen siendo esenciales para salvaguardar la información confidencial y protegerse contra actores maliciosos como Kimsuky.
