La minaccia malware Troll Stealer prende di mira gli utenti di computer coreani
Una minaccia informatica scoperta di recente ha messo a rischio gli utenti di computer coreani, poiché è emerso un sofisticato malware soprannominato "Troll Stealer", sospettato di essere orchestrato dall'attore stato-nazione legato alla Corea del Nord, Kimsuky. Questo malware, realizzato utilizzando Golang, un linguaggio di programmazione, è progettato per estrarre furtivamente informazioni sensibili dai sistemi infetti. La società di sicurezza informatica sudcoreana S2W ha svelato il modus operandi di Troll Stealer, che include il furto di SSH, FileZilla, file/directory dell'unità C, dati del browser, informazioni di sistema e persino catture di schermate.
Table of Contents
Estrazione segreta dei dati
I collegamenti tra Troll Stealer e Kimsuky derivano dalla sua somiglianza con ceppi di malware noti come AppleSeed e AlphaSeed, precedentemente attribuiti a questo gruppo avversario. Kimsuky, identificato anche con vari alias come APT43 e ARCIPELAGO, è famigerato per le sue attività di spionaggio informatico, spesso mirate all'acquisizione di dati riservati per promuovere gli interessi strategici della Corea del Nord.
Spionaggio strategico
La gravità della minaccia posta da Kimsuky è stata sottolineata quando, alla fine di novembre 2023, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha sanzionato il gruppo per i suoi sforzi di raccolta di informazioni. Negli ultimi mesi Kimsuky ha utilizzato tattiche di spear phishing per infiltrarsi in obiettivi sudcoreani, distribuendo una serie di backdoor, tra cui AppleSeed e AlphaSeed.
L'analisi di S2W evidenzia il metodo di infiltrazione di Troll Stealer, che prevede un contagocce camuffato mascherato da file di installazione di un programma di sicurezza di una società sudcoreana denominata SGA Solutions. Curiosamente, sia il dropper che il malware portano la firma di un certificato legittimo appartenente a D2Innovation Co., LTD, suggerendo un potenziale furto di certificato.
Targeting del governo
Un aspetto particolarmente preoccupante di Troll Stealer è la sua capacità di saccheggiare la cartella GPKI (Government Public Key Infrastructure) dai sistemi infetti, indicando un possibile bersaglio di organizzazioni amministrative e pubbliche all'interno della Corea. Questo comportamento diverge dalle precedenti campagne Kimsuky, portando a speculazioni su cambiamenti tattici o sul coinvolgimento di altri autori di minacce con accesso al codice sorgente AppleSeed e AlphaSeed.
Inoltre, alcune indicazioni suggeriscono un potenziale coinvolgimento di Kimsuky con un altro malware, GoBear, che condivide somiglianze con BetaSeed, una backdoor utilizzata in precedenza. In particolare, GoBear introduce la funzionalità proxy SOCKS5, una deviazione dal consueto modus operandi di Kimsuky.
L’emergere di Troll Stealer sottolinea la persistente minaccia posta da Kimsuky alla sicurezza informatica coreana. Poiché le minacce informatiche continuano ad evolversi, la vigilanza e solide misure di sicurezza informatica rimangono essenziali per salvaguardare le informazioni sensibili e proteggersi da attori malintenzionati come Kimsuky.
