O grupo de ameaças persistentes avançadas (APT) Kimsuky (também conhecido como Springtail), vinculado ao Reconnaissance General Bureau (RGB) da Coreia do Norte, foi observado implantando uma versão para Linux de seu backdoor GoBear como parte de uma campanha direcionada a organizações sul-coreanas.
O backdoor, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com amplo compartilhamento de código entre as variantes de malware”, informou o Symantec Threat Hunter Team, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que seja dependente do sistema operacional está ausente ou reimplementada no Gomir.”
O GoBear foi documentado pela primeira vez pela empresa de segurança sul-coreana S2W no início de fevereiro de 2024, em conexão com uma campanha que entregou um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias conhecidas de malware da Kimsuky, como AppleSeed e AlphaSeed.
Uma análise subsequente do AhnLab Security Intelligence Center (ASEC) revelou que o malware é distribuído por meio de programas de segurança trojanizados baixados de um site não especificado de uma associação sul-coreana relacionada à construção.
Isso inclui nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, sendo que este último foi previamente alvo de um ataque de cadeia de abastecimento de software pelo Lazarus Group em 2020.
Symantec também observou o malware Troll Stealer sendo distribuído por instaladores falsos para Wizvera VeraPort, embora o mecanismo exato de distribuição pelo qual os pacotes de instalação são entregues seja desconhecido no momento.
“O GoBear também contém nomes de funções semelhantes a um backdoor mais antigo do Springtail, conhecido como BetaSeed, que foi escrito em C++, sugerindo que ambas as ameaças têm uma origem comum”, observou a empresa.
O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é dito ser propagado por droppers que se disfarçam como um instalador falso de um aplicativo para uma organização de transporte sul-coreana.
Sua contraparte para Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, pausam comunicações de comando e controle (C2) por um intervalo de tempo especificado, executem comandos de shell e terminem seu próprio processo.
“Esta última campanha do Springtail fornece mais evidências de que pacotes de instalação de software e atualizações estão entre os vetores de infecção mais favoritos para atores norte-coreanos de espionagem”, disse a Symantec.
“O software visado parece ter sido cuidadosamente escolhido para maximizar as chances de infectar seus alvos sul-coreanos pretendidos.”
