Programari maliciós FPSpy
Els grups d'amenaça vinculats a Corea del Nord s'han identificat mitjançant dues eines de desenvolupament recent conegudes com KLogEXE i FPSpy. Aquesta activitat s'ha relacionat amb un actor d'amenaça anomenat Kimsuky, també reconegut amb àlies com APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (abans Thallium), Sparkling Pisces, Springtail i Velvet Chollima. Aquestes noves eines amplien el ja considerable conjunt d'eines de Sparkling Pisces, reflectint l'evolució contínua i la creixent sofisticació del grup.
Taula de continguts
Un actor d’amenaça sofisticat que funciona durant més d’una dècada
Actiu des del 2012, com a mínim, l'actor de l'amenaça ha estat anomenat el "rei de la pesca llança" per la seva capacitat d'enganyar les víctimes perquè descarreguin programari maliciós enviant correus electrònics que fan que sembli que provenen de parts de confiança. L'anàlisi dels investigadors de la infraestructura de Kimsuki ha descobert dos nous executables portàtils anomenats KLogEXE i FPSpy.
Se sap que aquestes varietats de programari maliciós s'entreguen principalment mitjançant atacs de pesca. D'acord amb la informació disponible, sembla que els malvats operadors d'aquesta campanya afavoreixen els atacs d'enginyeria social en forma de correus electrònics de pesca llança enviats als seus objectius".
Aquests correus electrònics acuradament elaborats tenen un llenguatge dissenyat per atraure els objectius a descarregar un fitxer ZIP adjunt al correu electrònic. Sovint s'anima als objectius a extreure fitxers danyats, que després de l'execució invoquen la cadena d'infecció i, finalment, lliuraran aquestes soques de programari maliciós.
FPSpy està equipat amb nombroses capacitats invasives
Es creu que FPSpy és una variant d'una porta del darrere exposada per primera vegada per AhnLab el 2022, que mostra similituds amb una amenaça documentada per Cybereason amb el nom KGH_SPY a finals del 2020. Més enllà del registre de tecles, FPSpy està dissenyat per recopilar detalls del sistema, descarregar i desplegar càrregues útils addicionals, executar ordres arbitràries i escanejar unitats, carpetes i fitxers al sistema compromès.
Mentrestant, KLogExe, una altra amenaça identificada recentment, és una adaptació C++ d'un keylogger basat en PowerShell anomenat InfoKey, prèviament marcat per JPCERT/CC en una campanya de Kimsuky dirigida a entitats japoneses. Aquesta eina està equipada per capturar i extreure dades sobre aplicacions actives, pulsacions de tecles i moviments del ratolí a la màquina afectada.
Una campanya d’atac molt objectiu
Els experts en ciberseguretat han identificat similituds en el codi font de KLogExe i FPSpy, cosa que indica que probablement són desenvolupats pel mateix autor. Tot i que Kimsuky té un historial d'orientació a diverses regions i sectors, aquesta campanya en particular sembla centrada en organitzacions del Japó i Corea del Sud.
Atesa la naturalesa específica i selectiva d'aquestes operacions, els investigadors han conclòs que és poc probable que la campanya estigui generalitzada. En canvi, sembla limitada a indústries específiques i limitada principalment al Japó i Corea del Sud.
