Los piratas informáticos de estado nación vinculados a Corea del Norte continúan con su estrategia de tratar de 'drenar' herramientas y servicios de criptomonedas para obtener ingresos económicos.
Ahora se ha conocido la existencia de un grupo APT norcoreano llamado Kimsuky que se ha servido de una nueva variante de malware para atacar al menos a dos empresas de criptomonedas de Corea del Sur. Su nombre es: Durian.
La revelación ha sido realizada por la firma de ciberseguridad de origen ruso Kaspersky, quien habla sobre Kimsuky en un informe de amenazas publicado el pasado 9 de mayo.
El uso del malware se realizó a través de un ataque 'persistente' mediante la explotación de software de seguridad legítimo utilizado exclusivamente por empresas de criptomonedas en Corea del Sur.
Por la puerta de atrás
El malware Durian, del que hasta la fecha no se conocía demasiado, actúa como un instalador que despliega un flujo continuo de malware, incluyendo una puerta trasera conocida como Apple Sead.
"Durian cuenta con una completa funcionalidad de puerta trasera, que permite la ejecución de comandos entregados, descargas de archivos adicionales y exfiltración de archivos", escribe Kaspersky.
Además, la firma de antivirus señala que LazyLoad también fue utilizado por Andariel, un subgrupo dentro del consorcio de piratas informáticos de Corea del Norte, Lazarus Group, lo que sugiere una conexión "tenue" entre Kimsuky y el grupo de piratas informáticos más notorio.
Lazarus es un decano del cibermal. Nació en 2009 y lleva estos 15 años haciendo de las suyas. Entre 2020 y 2023 se estima que habría lavado con éxito más de 200 millones de dólares en criptomonedas, según indica el detective independiente de blockchai ZachXBT.