Stando a una ricerca portata avanti dagli esperti di SentinelOne, tra gli hacker nordcoreani si sta diffondendo una pratica tanto bizzarra quanto efficace.
Nello specifico, sembra che il codice malevolo di due ceppi malware attivi recentemente in ambiente macOS, ovvero RustBucket e KandyKorn, sono stati mischiati tra loro, creando una sorta di ibrido tra i due agenti malevoli. Il fine di questa operazione, a quanto pare, è rendere gli attacchi ancora più imprevedibili e difficili da rilevare.
Nello specifico, la campagna rivelata sfrutta SwiftLoader, dropper tipico di RustBucket, combinandolo al payload del RAT KandyKorn.
Questo modus operandi così singolare, però, non sorprende del tutto gli esperti. I gruppi nordcoreani, infatti, sembrano muoversi sotto direttive governative. Ciò significa che i vari gruppi viene fornita una direzione comune e, a quanto pare, questi si trovano spesso a collaborare tra loro.
RustBucket e KandyKorn: due malware “fusi” tra loro per evitare il rilevamento
La campagna RustBucket utilizza una backdoor che si spaccia per lettore PDF, ovvero SwiftLoader. Mentre le vittime leggono documenti, SwiftLoader recupera ed esegue un ulteriore malware scritto in linguaggio Rust.
KandyKorn, invece, è una campagna multifase che prende di mira gli ingegneri impegnati sulle blockchain che lavorano su piattaforme di scambio di criptovalute. I cybercriminali, in questo caso, utilizzano script Python per distribuire malware, prendere il controllo dell’app Discord dell’host e quindi introdurre un RAT backdoor codificato in C++, chiamato appunto KandyKorn.
L’infrastruttura condivisa consente agli aggressori di utilizzare SwiftLoader per installare HLoader, un payload realizzato per l’interazione con Discord che consente la persistenza attraverso frequenti lanci dell’app eludendo così il rilevamento.
Di certo, il movimento di hacker proveniente dal paese asiatico rappresenta un’enorme minaccia a livello globale, potendo contare su alcune delle gang di cybercriminali più conosciute e temute.