O grupo de ameaças persistentes avançadas Kimsuky (também conhecido como Springtail), ligado ao Bureau Geral de Reconhecimento (RGB) da Coreia do Norte, foi observado implantando uma versão Linux de sua backdoor GoBear como parte de uma campanha direcionada a organizações sul-coreanas.
A backdoor, chamada de Gomir, é “estruturalmente quase idêntica ao GoBear, com amplo compartilhamento de código entre as variantes de malware”, disse a equipe de caçadores de ameaças da Symantec, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que dependa do sistema operacional está ausente ou reimplementada no Gomir.”
O GoBear foi documentado pela primeira vez pela empresa sul-coreana de segurança S2W no início de fevereiro de 2024 em conexão com uma campanha que entregou um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias conhecidas de malware da Kimsuky, como AppleSeed e AlphaSeed.
Uma análise subsequente do Centro de Inteligência de Segurança da AhnLab (ASEC) revelou que o malware é distribuído por meio de programas de segurança trojanizados baixados do site de uma associação sul-coreana relacionada à construção não especificada.
Isso inclui o nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, sendo este último anteriormente alvo de um ataque à cadeia de suprimentos de software pelo grupo Lazarus em 2020.
A Symantec disse que também observou o malware Troll Stealer sendo entregue por instaladores falsos para o Wizvera VeraPort, embora o mecanismo exato de distribuição pelo qual os pacotes de instalação são entregues seja atualmente desconhecido.
“O GoBear também contém nomes de funções semelhantes a uma backdoor mais antiga da Springtail conhecida como BetaSeed, que foi escrita em C++, sugerindo que ambas as ameaças têm uma origem comum”, observou a empresa.
O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é dito ser propagado por droppers que se disfarçam de um instalador falso para um aplicativo de uma organização de transporte sul-coreana.
Sua contraparte Linux, o Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, pausam as comunicações de comando e controle (C2) por uma duração específica, executem comandos de shell e terminem seu próprio processo.
“Esta última campanha da Springtail fornece mais evidências de que pacotes de instalação de software e atualizações estão entre os vetores de infecção mais favoritos para atores de espionagem norte-coreanos”, disse a Symantec.
“O software direcionado parece ter sido cuidadosamente escolhido para maximizar as chances de infectar seus alvos sul-coreanos pretendidos.”
