Rifdoor

O malware Rifdoor é uma ferramenta de hackers que faz parte do arsenal do grupo Andariel. Os pesquisadores de segurança cibernética acreditam que o grupo de hackers Andariel provavelmente faz parte do infame Lazarus APT (Ameaça persistente avançada). Acredita-se que o Lazarus APT seja originário da Coréia do Norte e tende a perseguir principalmente as metas sul-coreanas. Normalmente, esse grupo de hackers realiza longas campanhas de reconhecimento antes de lançar um ataque contra os seus alvos.

A ameaça Rifdoor serve como um Trojan de backdoor multifuncional. Isso significa que o malware Rifdoor é capaz de realizar campanhas de espionagem a longo prazo, permitindo que os seus operadores tenham acesso ao dispositivo infectado e executem comandos remotos nele. O Trojan backdoor Rifdoor também permite que o grupo de hackers Adariel plante malware adicional no computador comprometido. Uma das amostras do malware Rifdoor, detectada em 2019, parecia usar um certificado de segurança emitido por uma empresa sul-coreana que opera no setor de segurança de TI. É provável que isso signifique que os hackers da Andariel conseguiram seqüestrar o certificado comprometendo a rede da empresa ou alguns de seus funcionários.

O Lazarus APT e sua subdivisão, o grupo Adariel, provavelmente não irão atrás de usuários regulares. Cibercriminosos de alto perfil como esse tendem a visar grandes empresas em setores importantes, órgãos cruciais do governo ou altos funcionários do governo. Isso se deve ao fato de que esses grupos de hackers provavelmente são patrocinados pelo governo norte-coreano e está fazendo suas licitações em nível internacional.

O Trojan backdoor Rifdoor é uma das ameaças mais antigas do arsenal de hackers do grupo Andariel. No entanto, parece que esse malware ainda é usado até hoje, pois seus criadores estão lançando atualizações regulares que melhoram a funcionalidade dessa ferramenta de hackers. É provável que hackers norte-coreanos continuem utilizando essa ameaça em campanhas futuras.