La menace du logiciel malveillant Troll Stealer cible les utilisateurs d'ordinateurs coréens
Une cybermenace récemment découverte a mis en danger les utilisateurs d'ordinateurs coréens, avec l'émergence d'un malware sophistiqué surnommé "Troll Stealer", soupçonné d'être orchestré par l'acteur étatique lié à la Corée du Nord, Kimsuky. Ce malware, conçu à l'aide de Golang, un langage de programmation, est conçu pour extraire furtivement des informations sensibles des systèmes infectés. La société sud-coréenne de cybersécurité S2W a dévoilé le mode opératoire de Troll Stealer, qui inclut le vol de SSH, FileZilla, des fichiers/répertoires du lecteur C, des données du navigateur, des informations système et même des captures d'écran.
Table of Contents
Extraction furtive de données
Les liens entre Troll Stealer et Kimsuky proviennent de sa ressemblance avec des souches de logiciels malveillants connues comme AppleSeed et AlphaSeed, précédemment attribuées à ce groupe antagoniste. Kimsuky, également identifié sous divers pseudonymes tels que APT43 et ARCHIPELAGO, est tristement célèbre pour ses activités de cyberespionnage, visant souvent à acquérir des données confidentielles pour promouvoir les intérêts stratégiques de la Corée du Nord.
Espionnage stratégique
La gravité de la menace posée par Kimsuky a été soulignée lorsque, fin novembre 2023, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a sanctionné le groupe pour ses efforts de collecte de renseignements. Ces derniers mois, Kimsuky a eu recours à des tactiques de spear phishing pour infiltrer des cibles sud-coréennes, en distribuant toute une série de portes dérobées, notamment AppleSeed et AlphaSeed.
L'analyse de S2W met en évidence la méthode d'infiltration de Troll Stealer, qui implique un compte-gouttes déguisé se faisant passer pour un fichier d'installation de programme de sécurité d'une société sud-coréenne nommée SGA Solutions. Curieusement, le compte-gouttes et le malware portent tous deux la signature d'un certificat légitime appartenant à D2Innovation Co., LTD, faisant allusion à un vol potentiel de certificat.
Ciblage du gouvernement
Un aspect particulièrement préoccupant de Troll Stealer est sa capacité à piller le dossier GPKI (Government Public Key Infrastructure) des systèmes infectés, ce qui indique un ciblage possible des organisations administratives et publiques en Corée. Ce comportement s'écarte des précédentes campagnes Kimsuky, ce qui conduit à des spéculations sur des changements tactiques ou l'implication d'autres acteurs malveillants ayant accès au code source d'AppleSeed et d'AlphaSeed.
En outre, des indications suggèrent une implication potentielle de Kimsuky dans un autre malware, GoBear, qui partage des similitudes avec BetaSeed, une porte dérobée précédemment utilisée. Notamment, GoBear introduit la fonctionnalité proxy SOCKS5, ce qui s'écarte du modus operandi habituel de Kimsuky.
L’émergence de Troll Stealer souligne la menace persistante que représente Kimsuky pour la cybersécurité coréenne. Alors que les cybermenaces continuent d’évoluer, la vigilance et des mesures de cybersécurité robustes restent essentielles pour protéger les informations sensibles et se protéger contre les acteurs malveillants comme Kimsuky.