L’evoluzione della minaccia informatica della Corea del Nord con il malware MoonPeak

Cisco Talos ha identificato un gruppo di hacker nordcoreani, “UAT-5394,” che utilizza vari server per testare e controllare il loro malware. Stanno lavorando con una nuova versione di malware chiamata “MoonPeak”, che si basa su un malware precedente chiamato XenoRAT.

Nel loro rapporto, pubblicato ieri, i ricercatori affermano che MoonPeak si basa sul codice sorgente pubblicamente disponibile per XenoRAT, che è stato rilasciato su GitHub intorno a ottobre 2023.

Sebbene MoonPeak mantenga molte delle funzionalità originali di XenoRAT, l’analisi di Cisco Talos ha individuato cambiamenti coerenti tra le sue varianti, indicando che gli attori della minaccia stanno modificando ed evolvendo il codice indipendentemente dalla versione open-source.

Anche se MoonPeak condivide alcune somiglianze con il malware usato da un noto gruppo nordcoreano chiamato “Kimsuky”, Cisco Talos afferma di non avere abbastanza prove per confermare un collegamento diretto tra loro.

Le ricercatrici suggeriscono che il nuovo malware solleva due possibilità principali. Prima, UAT-5394 potrebbe essere Kimsuky o un sottogruppo di Kimsuky che sta sostituendo il loro vecchio malware con MoonPeak.

In alternativa, UAT-5394 potrebbe essere un diverso gruppo nordcoreano che utilizza tecniche e infrastrutture simili a Kimsuky.

Per ora, Cisco Talos decide di trattare UAT-5394 come un gruppo a sé stante, fino a quando non avranno ulteriori prove per collegarli a Kimsuky o confermarli come un gruppo unico all’interno delle operazioni di hacking della Corea del Nord.

I ricercatori di Cisco Talos hanno anche rivelato che il gruppo utilizza server speciali per testare e aggiornare MoonPeak. Cisco Talos suggerisce che il gruppo utilizza questi server per scaricare e controllare il malware, e spesso accedono a questi server tramite VPN per gestire e aggiornare i loro malware.

Inoltre, Cybersecurity News (CN) segnala che il malware XenoRAT ha subito diverse modifiche da parte dei suoi creatori, incluso cambiamenti nello spazio dei nomi del client, nel protocollo di comunicazione e nelle tecniche di offuscamento.

Questi aggiornamenti sono progettati per migliorare le tattiche di evasione e impedire a client indesiderati di interagire con l’infrastruttura di comando e controllo (C2).

Secondo The Cyber Express (TCE), i ricercatori hanno notato un cambiamento significativo nelle tattiche dell’attore nel giugno 2024. Sono passati dall’uso di legittimi fornitori di storage cloud all’hosting di payload malevoli su sistemi e server che ora possiedono e controllano.

TCE suggerisce che questa mossa fosse probabilmente mirata a proteggere le loro operazioni da possibili chiusure da parte dei fornitori di servizi cloud.

Infine, CN evidenzia che la rapida cadenza di questi cambiamenti rispecchia gli sforzi del gruppo per espandere rapidamente la loro campagna, mentre si organizzano per predisporre più punti di rilascio e server C2.