El equipo de investigación de seguridad de Kaspersky Lab publicó un informe que analiza una campaña activa de ciberespionaje principalmente centrada en entidades de Corea del Sur.
Esta campaña, denominada Kimsuky, es limitada y muy específica. Según el análisis técnico, los atacantes estaban interesados en 11 organizaciones en Corea del Sur y dos entidades en China como posibles blancos, incluyendo el Instituto Sejong, el Instituto de Corea para Análisis de Defensa (KIDA), el Ministerio de Unificación de Corea del Sur, Hyundai Merchant Marine y partidarios de la unificación coreana.
Los primeros signos de actividad de esta amenaza se remontan al 3 de abril de 2013, y las primeras muestras del troyano Kimsuky aparecieron el 5 de mayo de 2013. Este programa de espionaje poco sofisticado incluye diversos errores de codificación básica y maneja las comunicaciones hacia y desde máquinas infectadas vía un servidor de correo electrónico gratuito con base en un sitio web de Bulgaria (mail.bg).
Si bien el mecanismo de distribución inicial sigue siendo desconocido, los investigadores de Kaspersky Lab creen que el malware Kimsuky muy probablemente se distribuye a través de correos electrónicos de phishing dirigidos (spear-phishing) y tiene la capacidad de llevar a cabo las siguientes funciones de espionaje: registro de teclas, recopilación de listados de directorios, acceso por control remoto y robo de documentos HWP (relacionados con el procesador de texto de Corea del Sur del paquete Hancom Office, muy usado por el gobierno local). Los atacantes están utilizando una versión modificada de la aplicación de acceso remoto TeamViewer como puerta de entrada furtiva para apropiarse de cualquier archivo de las máquinas infectadas.
El malware Kimsuky contiene un programa malicioso específico, diseñado para robar archivos HWP, que sugiere que estos documentos son uno de los principales objetivos del grupo.
Las pistas halladas por los expertos de Kaspersky Lab apuntan a atacantes de Corea del Norte. En primer lugar, los perfiles de los posibles blancos hablan por sí mismos: universidades de Corea del Sur que realizan investigaciones sobre asuntos internacionales y elaboran políticas de defensa para el gobierno, una compañía nacional de fletes y grupos partidarios de la unificación coreana.
En segundo lugar, compilación de cadenas de ruta de acceso con palabras coreanas (por ejemplo, algunas podrían traducirse como los comandos “atacar” y “terminar”).
Tercero: bots envían informes de estado y transmiten información de sistemas infectados por medio de adjuntos a dos direcciones de correo electrónico (iop110112@hotmail.com y rsh1213@hotmail.com), que están registradas con los siguientes nombres “kim”: “kimsukyang” y “Kim asdfa”. Si bien los datos de registro no ofrecen información fehaciente sobre los atacantes, las direcciones IP de origen de estos se ajustan al perfil: hay 10 direcciones IP de origen, y todas ellas se encuentran en la red de la provincia de Jilin y en la red de la provincia de Liaoning, en China. Se cree que las ISP que proporcionan acceso a Internet en estas provincias también mantienen líneas en partes de Corea del Norte.
Otra característica “geopolítica” interesante del malware Kimsuky es que solo desactiva herramientas de seguridad de AhnLab, una compañía antimalware de Corea del Sur.
Los productos de Kaspersky Lab detectan y neutralizan estas amenazas como Trojan.Win32.Kimsuky, y los componentes del programa TeamViewer se detectan como Trojan.Win32.Patched.ps.