Aktor negara-bangsa yang terkait dengan Korea Utara yang dikenal sebagai Kimsuky diduga menggunakan pencuri informasi berbasis Golang yang sebelumnya tidak berdokumen yang disebut Troll Stealer.
Malware mencuri “SSH, FileZilla, file / direktori drive C, browser, informasi sistem, [dan] tangkapan layar” dari sistem yang terinfeksi, perusahaan cybersecurity Korea Selatan S2W mengatakan dalam sebuah laporan teknis baru.
Tautan Troll Stealer ke Kimsuky berasal dari kesamaannya dengan keluarga malware yang dikenal, seperti malware AppleSeed dan AlphaSeed yang telah dikaitkan dengan grup tersebut.
Kimsuky, juga dilacak dengan nama APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (sebelumnya Thallium), Nickel Kimball, dan Velvet Chollima, terkenal karena kecenderungannya untuk mencuri informasi sensitif dan rahasia dalam operasi cyber ofensif.
Pada akhir November 2023, para pelaku ancaman dikenai sanksi oleh Kantor Pengawasan Aset Luar Negeri (Foreign Assets Control – OFAC) Departemen Keuangan A.S. karena mengumpulkan intelijen untuk memajukan tujuan strategis Korea Utara.
Kolektif permusuhan, dalam beberapa bulan terakhir, telah dikaitkan dengan serangan spear-phishing yang menargetkan entitas Korea Selatan untuk memberikan berbagai pintu belakang, termasuk AppleSeed dan AlphaSeed.
Analisis terbaru S2W mengungkapkan penggunaan pipet yang menyamar sebagai file instalasi program keamanan dari perusahaan Korea Selatan bernama SGA Solutions untuk meluncurkan stealer, yang mendapatkan namanya dari jalur “D: / ~ / repo / golang / src / root.go / s / troll / agen “yang tertanam di dalamnya.
“Pipet berjalan sebagai penginstal yang sah di samping malware, dan pipet dan malware ditandatangani dengan sertifikat D2Innovation Co., LTD yang valid dan sah, menunjukkan bahwa sertifikat perusahaan benar-benar dicuri,” kata perusahaan itu.
Fitur menonjol dari Troll Stealer adalah kemampuannya untuk mencuri folder GPKI pada sistem yang terinfeksi, meningkatkan kemungkinan bahwa malware telah digunakan dalam serangan yang menargetkan organisasi administratif dan publik di negara tersebut.
Mengingat tidak adanya kampanye Kimsuky yang mendokumentasikan pencurian folder GPKI, hal itu telah meningkatkan kemungkinan bahwa perilaku baru tersebut merupakan pergeseran taktik atau pekerjaan aktor ancaman lain yang terkait erat dengan kelompok yang juga memiliki akses ke kode sumber AppleSeed dan AlphaSeed.
Ada juga tanda-tanda bahwa aktor ancaman mungkin terlibat dengan backdoor berbasis Go dengan nama kode GoBear yang juga ditandatangani dengan sertifikat sah yang terkait dengan D2Innovation Co., LTD dan mengeksekusi instruksi yang diterima dari server command-and-control (C2).
“String yang terkandung dalam nama-nama fungsi yang dipanggilnya telah ditemukan tumpang tindih dengan perintah yang digunakan oleh BetaSeed, malware backdoor berbasis C ++ yang digunakan oleh grup Kimsuky,” kata S2W. “Perlu dicatat bahwa GoBear menambahkan fungsi proxy SOCKS5, yang sebelumnya tidak didukung oleh malware backdoor grup Kimsuky.”
