26 de septiembre de 2024Ravie LakshmananAtaque cibernético / Malware Se ha observado que actores de amenazas con vínculos con Corea del Norte aprovechan dos nuevas cepas de malware denominadas KLogEXE y FPSpy. La actividad se ha atribuido a un adversario rastreado como Kimsuky, que también se conoce como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail y Velvet Chollima. «Estas muestras mejoran el arsenal ya extenso de Sparkling Pisces y demuestran la evolución continua y las capacidades crecientes del grupo», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Daniel Frank y Lior Rochberger. Activo desde al menos 2012, el actor de amenazas ha sido llamado el «rey del spear phishing» por su capacidad de engañar a las víctimas para que descarguen malware mediante el envío de correos electrónicos que hacen parecer que provienen de partes confiables. El análisis de la infraestructura de Sparkling Pisces por parte de Unit 42 ha descubierto dos nuevos ejecutables portátiles denominados KLogEXE y FPSpy. KLogExe es una versión en C++ del keylogger basado en PowerShell llamado InfoKey que fue destacado por JPCERT/CC en relación con una campaña de Kimsuky dirigida a organizaciones japonesas. El malware viene equipado con capacidades para recopilar y exfiltrar información sobre las aplicaciones que se están ejecutando actualmente en la estación de trabajo comprometida, las pulsaciones de teclas realizadas y los clics del mouse. Por otro lado, se dice que FPSpy es una variante de la puerta trasera que AhnLab reveló en 2022, con superposiciones identificadas con un malware que Cyberseason documentó bajo el nombre KGH_SPY a fines de 2020. FPSpy, además del keylogger, también está diseñado para recopilar información del sistema, descargar y ejecutar más cargas útiles, ejecutar comandos arbitrarios y enumerar unidades, carpetas y archivos en el dispositivo infectado. La Unidad 42 afirmó que también pudo identificar puntos de similitud en el código fuente de KLogExe y FPSpy, lo que sugiere que es probable que sean obra del mismo autor. «La mayoría de los objetivos que observamos durante nuestra investigación procedían de Corea del Sur y Japón, lo que coincide con los objetivos anteriores de Kimsuky», dijeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.