21 de agosto de 2024Ravie LakshmananEspionaje cibernético / Malware Se ha descubierto que un nuevo troyano de acceso remoto llamado MoonPeak está siendo utilizado por un grupo de actividad de amenazas norcoreano patrocinado por el estado como parte de una nueva campaña. Cisco Talos atribuyó la campaña cibernética maliciosa a un grupo de piratas informáticos que rastrea como UAT-5394, que dijo que exhibe cierto nivel de superposiciones tácticas con un actor de estado-nación conocido con nombre en código Kimsuky. MoonPeak, en desarrollo activo por el actor de amenazas, es una variante del malware de código abierto Xeno RAT, que se implementó anteriormente como parte de ataques de phishing diseñados para recuperar la carga útil de servicios en la nube controlados por el actor como Dropbox, Google Drive y Microsoft OneDrive. Algunas de las características clave de Xeno RAT incluyen la capacidad de cargar complementos adicionales, iniciar y finalizar procesos y comunicarse con un servidor de comando y control (C2). Talos dijo que las similitudes entre los dos conjuntos de intrusiones indican que UAT-5394 es en realidad Kimsuky (o su subgrupo) o es otro equipo de piratas informáticos dentro del aparato cibernético de Corea del Norte que toma prestada su caja de herramientas de Kimsuky. La clave para realizar la campaña es el uso de nueva infraestructura, incluidos servidores C2, sitios de alojamiento de carga útil y máquinas virtuales de prueba, que se han creado para generar nuevas iteraciones de MoonPeak. «El servidor C2 aloja artefactos maliciosos para descargar, que luego se utilizan para acceder y configurar una nueva infraestructura para respaldar esta campaña», dijeron los investigadores de Talos Asheer Malhotra, Guilherme Venere y Vitor Ventura en un análisis del miércoles. «En múltiples casos, también observamos que el actor de la amenaza accedió a los servidores existentes para actualizar sus cargas útiles y recuperar registros e información recopilada de las infecciones de MoonPeak». El cambio se considera parte de un giro más amplio del uso de proveedores legítimos de almacenamiento en la nube a la configuración de sus propios servidores. Dicho esto, actualmente no se conocen los objetivos de la campaña. Un aspecto importante a destacar aquí es que «la constante evolución de MoonPeak va de la mano con la nueva infraestructura establecida por los actores de la amenaza» y que cada nueva versión del malware introduce más técnicas de ofuscación para frustrar el análisis y cambios en el mecanismo general de comunicación para evitar conexiones no autorizadas. «En pocas palabras, los actores de la amenaza se aseguraron de que las variantes específicas de MoonPeak solo funcionen con variantes específicas del servidor C2», señalaron los investigadores. «Los plazos de la adopción constante de nuevo malware y su evolución, como en el caso de MoonPeak, destacan que UAT-5394 continúa agregando y mejorando más herramientas a su arsenal. El rápido ritmo de establecimiento de nueva infraestructura de apoyo por parte de UAT-5394 indica que el grupo tiene como objetivo proliferar rápidamente esta campaña y establecer más puntos de entrega y servidores C2». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.