Una familia de troyanos de acceso remoto (RAT) recientemente descubierta, MoonPeak, ha sido vinculada a un grupo de amenazas afiliado a Corea del Norte conocido como UAT-5394. Este sofisticado malware, basado en el código abierto XenoRAT, está en desarrollo activo y muestra mejoras significativas destinadas a evadir la detección y mejorar la funcionalidad, según una investigación reciente de Cisco Talos. Conexión con Kimsuky UAT-5394, un actor emergente en el panorama de las ciberamenazas de Corea del Norte, comparte ciertas tácticas, técnicas y procedimientos (TTP) con el grupo más establecido patrocinado por el estado norcoreano Kimsuky. Aunque no hay evidencia técnica concluyente que vincule a UAT-5394 directamente con Kimsuky, la superposición en los patrones operativos plantea la posibilidad de que UAT-5394 pueda ser un subgrupo dentro de Kimsuky u otra entidad que tome prestado el manual de Kimsuky. Lea más sobre las ciberamenazas de Corea del Norte: piratas informáticos norcoreanos falsifican correos electrónicos de periodistas para espiar a expertos en políticas Evolución del malware MoonPeak Independientemente de la conexión, inicialmente se observó que el grupo utilizaba proveedores de almacenamiento en la nube para alojar cargas maliciosas, pero desde entonces se ha trasladado a servidores controlados por los atacantes, probablemente para mitigar los riesgos asociados con el cierre de las ubicaciones de la nube por parte de los proveedores de servicios. El malware MoonPeak también ha evolucionado a través de múltiples versiones, cada iteración introduce nuevas capas de ofuscación y protocolos de comunicación únicos. Estas modificaciones, que incluyen cambios en el espacio de nombres del malware y las técnicas de compresión, están diseñadas para evitar el análisis y prevenir el acceso no autorizado a los servidores de comando y control (C2) del malware. Infraestructura C2 compleja La investigación también reveló que UAT-5394 ha establecido una red compleja de servidores C2 e infraestructura de prueba, lo que indica un alto nivel de organización y planificación. «Un análisis de las muestras de MoonPeak revela una evolución en el malware y sus componentes C2 correspondientes que justificaron que los actores de la amenaza implementaran sus variantes de implante varias veces en sus máquinas de prueba. “La constante evolución de MoonPeak va de la mano con la nueva infraestructura que establecen los actores de amenazas”, explicó Cisco Talos. La firma de seguridad también mencionó que la rápida expansión de la infraestructura indica la intención del grupo de ampliar sus operaciones, lo que representa una amenaza creciente para la ciberseguridad global. La posible conexión con Kimsuky amplifica la preocupación en torno a esta amenaza emergente.