Los hackers norcoreanos Kimsuky desplegaron malware dirigido a empresas cripto: Kaspersky

CryptoNews.com

2024-05-12 22:28:23

Sujha Sundararajan

Última actualización:

13 de mayo de 2024 02:28 EDT | 1 minuto de lectura

Según los hallazgos del gigante de soluciones de ciberseguridad Kaspersky, Durian se caracteriza por su “funcionalidad integral de puerta trasera”. Esta característica permite la utilización de comandos entregados, descargas de archivos adicionales y exfiltración de archivos.

Según los informes, los ataques tuvieron lugar entre agosto y noviembre de 2023, involucrando un exploit de software surcoreano para obtener acceso inicial.

“Basándonos en nuestra telemetría, identificamos a dos víctimas dentro del sector de las criptomonedas de Corea del Sur. El primer compromiso se produjo en agosto de 2023, seguido de un segundo en noviembre de 2023”.

Una vez que el malware está establecido y operativo en las víctimas de la víctima, Durian implementó herramientas adicionales, incluida la puerta trasera AppleSeed de Kimsuky y una herramienta proxy personalizada llamada LazyLoad.

Curiosamente, la herramienta LazyLoad enlaza con Andariel, un subgrupo dentro del notorio Lázaro. Esto también levanta la sospecha de tácticas compartidas entre ambos grupos de amenazas norcoreanos, informó Hacker News.

Según los informes, Kimsuky comenzó al menos en 2012 y depende de la Oficina General de Reconocimiento de Corea del Norte (RGB), la agencia de inteligencia militar del país.

La mafia del correo de Kimsuky

El grupo Kimsuky es conocido por haber llevado a cabo varios ataques de phishing por correo electrónico para robar criptomonedas.

En diciembre de 2023, el grupo se disfrazó de representantes de agencias gubernamentales y periodistas de Corea del Sur para robar criptomonedas. Un total de 1.468 personas fueron víctimas de los hackers de criptomonedas entre marzo y octubre de 2023, según informes policiales.

Algunas de las víctimas también incluían a funcionarios gubernamentales retirados de la diplomacia, el ejército y la seguridad nacional. Según los informes, los perpetradores enviaron correos electrónicos de phishing de aspecto legítimo para realizar el dudoso acto.

El grupo de piratas informáticos respaldado por el Estado había atacado previamente a empresas rusas de defensa aeroespacial “aprovechando la pandemia de coronavirus”.

Según el informe de Kommersant, RT-Inform, el brazo de seguridad informática de la agencia tecnológica estatal rusa Rostec, señaló que se ha producido un aumento en el número de ciberataques a la red informática durante la pandemia de abril a septiembre de 2020. Sin embargo, no negó ni confirmó los informes del ataque de Kimsuky.

Síguenos en Google News

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.