Se ha observado que actores maliciosos con vínculos con Corea del Norte explotan dos nuevas cepas de malware denominadas KLogEXE y FPSpy.
La actividad se atribuyó a un adversario rastreado con el nombre de Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail y Velvet Chollima.
“Estas muestras mejoran el ya extenso arsenal de Sparkling Piscis y demuestran la evolución continua y las capacidades crecientes del grupo”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Daniel Frank y Lior Rochberger. dicho.
Activo desde al menos 2012, el actor de amenazas ha sido apodado el “rey del phishing” por su capacidad de engañar a las víctimas para que descarguen malware mediante el envío de correos electrónicos que parecen provenir de partes de confianza.
El análisis de la Unidad 42 de la infraestructura de Sparkling Piscis descubrió dos nuevos ejecutables portátiles llamados KLogEXE y FPSpy.
KLogExe es una versión C++ del registrador de teclas basado en PowerShell llamado InfoKey que fue destacado por JPCERT/CC como parte de una campaña de Kimsuky dirigida a organizaciones japonesas.
El malware está equipado con funciones para recopilar y filtrar información sobre las aplicaciones que se ejecutan actualmente en la estación de trabajo comprometida, las pulsaciones de teclas y los clics del mouse.
Por otro lado, FPSpy sería una variación del backdoor de AhnLab revelado en 2022, con superposiciones identificadas con malware que Cyberseason documentó como KGH_SPY a finales de 2020.
FPSpy, además del registro de teclas, también está diseñado para recopilar información del sistema, descargar y ejecutar más cargas útiles, ejecutar comandos arbitrarios y enumerar unidades, carpetas y archivos en el dispositivo infectado.
La Unidad 42 dijo que también pudo identificar puntos de similitud en el código fuente de KLogExe y FPSpy, lo que sugiere que probablemente sean trabajo del mismo autor.
“La mayoría de los objetivos que observamos durante nuestra investigación procedían de Corea del Sur y Japón, lo que es consistente con objetivos anteriores de Kimsuky”, dijeron los investigadores.