Il gruppo di cybercriminali noto come Kimusky, considerato vicino alla Corea del Nord, sta proponendo nuove tattiche di diffusione malware, preoccupando non poco gli esperti di sicurezza.
Il collettivo è attivo dal 2013 ed è noto per prendere spesso di mira infrastrutture, società ed entità legate alla Corea del Sud. Nonostante ciò, dal 2017, sempre più spesso gli hacker hanno dimostrato interesse anche verso altri paesi.
Di norma, Kimusky era un gruppo che utilizzava documenti, spesso formati file di Microsoft Office, per diffondere i propri agenti malevoli. Nell’ultimo periodo, però, gli esperti dell’ASEC hanno notato un netto cambio di rotta, con l’adozione di file LNK dannosi.
File LNK dannosi e malware “personalizzati”: ecco le nuove strategie di Kimusky
Il gruppo in questione lavora prevalentemente con attacchi di spear phishing, con finalità più legate allo spionaggio che ad ottenere guadagno in denaro dalle proprie attività. Il vettore principale, a quanto pare, resta invece sempre il medesimo, ovvero allegati e-mail o direttamente link malevoli inclusi nel testo stesso del messaggio.
Il modus operandi di Kimusky è alquanto semplice, dopo aver infettato il dispositivo, agisce con l’installazione dei malware che consentono il controllo remoto. A seconda del caso, i cybercriminali optano per agenti malevoli specifici, come AppleSeed o PebbleDash o altri malware open source come XRat, HVNC, RftRAT o Amadey. Quest’ultimi, molto spesso vengono appositamente modificati per essere più funzionali rispetto a un determinato obiettivo.
Da notare come gli hacker sfruttano spesso i protocolli di desktop remoto (RDP) o installano Chrome Remote Desktop di Google per esfiltrare informazioni dai sistemi compromessi. Più di recente, in alcune operazioni è stato individuato l’impiego di AutoIt, un nuovo linguaggio di scripting. Quest’ultimo comportamento dimostra, se ce ne fosse bisogno, di come i cybercriminali di Kimusky siano alla continua ricerca di nuove strategie per le loro attività criminose.