Guerra cibernética / Ataques de estados-nación, gestión del fraude y delitos cibernéticos Kimsuky, o un grupo relacionado, implementa la variante XenoRAT Jayant Chakravarti (@JayJay_Tech) • 22 de agosto de 2024 Una vista del horizonte de Pyongyang en una foto de archivo sin fecha (Imagen: Shutterstock) Un equipo de piratas informáticos de Corea del Norte pasó apresuradamente de utilizar el almacenamiento informático en la nube disponible públicamente a su propia infraestructura después de que los investigadores de seguridad desenmascararan una campaña de malware, dijo Cisco Talos. Ver también: Seminario web | 2024 Información sobre phishing: lo que 11,9 millones de comportamientos de los usuarios revelan sobre su riesgo La empresa de ciberseguridad dijo el miércoles que descubrió una elaborada infraestructura compuesta por múltiples servidores, entornos de prueba y sitios web que un grupo de amenazas al que rastrea como UAT-5394 está utilizando para probar un malware de acceso remoto denominado MoonPeak. En junio, el grupo pasó de utilizar servicios en la nube como Google Drive, OneDrive y Dropbox a sistemas directamente bajo su control. Probablemente lo hicieron después de leer una investigación publicada por la firma de ciberseguridad surcoreana AhnLab en mayo que rastrea la implementación del malware XenoRAT en servicios de nube comerciales. El grupo probablemente movió su infraestructura «para preservar sus infecciones de un posible cierre de las ubicaciones de la nube por parte de los proveedores de servicios», dijo Talos. El actor de amenazas aparentemente también infectó uno de sus propios servidores de comando y control con el troyano remoto QuasarRAT. Es difícil decir por qué exactamente, pero Talos dijo que cree con poca confianza que el grupo de amenazas colocó deliberadamente QuasarRAT en su servidor como un «medio paralelo para mantener el acceso». La firma dijo que la actividad de UAT-5394 se superpone con el actor de amenazas de Pyongyang comúnmente rastreado como Kimsuky (ver: Kimsuky usa políticas DMARC permisivas para falsificar correos electrónicos). El grupo es Kimsuky en sí mismo, o un subgrupo, u otro grupo de piratería de Corea del Norte que toma prestadas tácticas, técnicas y procedimientos y patrones de infraestructura de Kimsuky. UAT-5394 ha estado distribuyendo una variante de XenoRAT que Talos llama MoonPeak. “Si bien MoonPeak contiene la mayoría de las funcionalidades del XenoRAT original, nuestro análisis observó cambios consistentes en todas las variantes que muestran que los actores de amenazas están modificando y evolucionando el código independientemente de la versión de código abierto”, dijo Talos. XenoRAT es un troyano de acceso remoto de código abierto que permite a sus operadores controlar de forma remota dispositivos Windows y realizar actividades maliciosas. El malware emplea técnicas de ofuscación para evadir la detección, utiliza proxies SOCKS5 para comunicarse con el servidor de comando y control y puede ejecutarse dentro de procesos legítimos. Varios grupos de amenazas utilizan el código del malware para actividades maliciosas. Los investigadores de Talos también descubrieron otro servidor utilizado por UAT-5394 que alojaba la última versión de MoonPeak, construida tan recientemente como el 16 de julio. Cada variante modificada de MoonPeak ha demostrado una mayor capacidad de ofuscación. Los piratas informáticos norcoreanos también están modificando cada versión de MoonPeak para que cada variante solo funcione con partes específicas de su infraestructura de comando y control. URL de la publicación original: https://www.databreachtoday.com/los-piratas-norcoreanos-se-apartan-de-la-nube-publica-a-26122