La Amenaza Cibernética de Corea del Norte Evoluciona con el Malware MoonPeak

Cisco Talos ha identificado a un grupo de hackers norcoreano, “UAT-5394”, que utiliza varios servidores para probar y controlar su malware. Están trabajando con una nueva versión de malware llamada “MoonPeak”, que está basada en un malware anterior llamado XenoRAT.

En su informe, publicado ayer, los investigadores indican que MoonPeak se basa en el código fuente públicamente disponible de XenoRAT, que fue publicado en GitHub alrededor de octubre de 2023.

Aunque MoonPeak conserva muchas de las funcionalidades originales de XenoRAT, el análisis de Cisco Talos ha identificado cambios constantes en sus variantes, lo que indica que los actores de amenazas están modificando y evolucionando el código más allá de la versión de código abierto.

Aunque MoonPeak comparte algunas similitudes con el malware utilizado por un grupo norcoreano conocido como “Kimsuky”, Cisco Talos afirma que no tienen suficientes pruebas para confirmar una conexión directa entre ellos.

Las investigadoras sugieren que el nuevo malware plantea dos posibilidades principales. En primer lugar, UAT-5394 podría ser Kimsuky o un subgrupo de Kimsuky que está reemplazando su antiguo malware con MoonPeak.

Alternativamente, UAT-5394 podría ser un grupo diferente de Corea del Norte que está utilizando técnicas e infraestructura similares a Kimsuky.

Por ahora, Cisco Talos decide tratar a UAT-5394 como un grupo separado hasta que tengan más evidencia para conectarlos con Kimsuky o confirmarlos como un grupo único dentro de las operaciones de hacking de Corea del Norte.

Los investigadores de Cisco Talos también revelaron que el grupo usa servidores especiales para probar y actualizar MoonPeak. Cisco Talos sugiere que el grupo utiliza estos servidores para descargar y controlar el malware, y a menudo acceden a estos servidores a través de VPNs para gestionar y actualizar su malware.

Además, Cybersecurity News (CN) informa que el malware XenoRAT ha sufrido varias modificaciones por parte de sus creadores, incluyendo cambios en el espacio de nombres del cliente, el protocolo de comunicación y las técnicas de ofuscación.

Estas actualizaciones están diseñadas para mejorar las tácticas de evasión y prevenir que los clientes no deseados interactúen con la infraestructura de comando y control (C2).

Según The Cyber Express (TCE), los investigadores notaron un cambio significativo en las tácticas del actor en junio de 2024. Pasaron de usar proveedores legítimos de almacenamiento en la nube a alojar cargas maliciosas en sistemas y servidores que ahora poseen y controlan.

TCE sugiere que este movimiento probablemente tenía como objetivo proteger sus operaciones de posibles cierres por parte de los proveedores de servicios en la nube.

Finalmente, CN señala que la velocidad de estos cambios refleja los esfuerzos del grupo para expandir su campaña rápidamente, al mismo tiempo que establecen más puntos de entrega y servidores C2.