Der nordkoreanische Staatsschauspieler Kimsuky wird verdächtigt, einen bisher unbekannten Informationendiebstahl namens Troll Stealer zu verwenden, der auf Golang basiert. Das Malware-Programm stiehlt SSH-, FileZilla-, C-Laufwerksdateien/Verzeichnisse, Browser, Systeminformationen und Bildschirmaufnahmen von infizierten Systemen. Der Zusammenhang zwischen Troll Stealer und Kimsuky ergibt sich aus Ähnlichkeiten mit bekannten Malware-Familien wie AppleSeed und AlphaSeed, die dieser Gruppe zugeschrieben wurden.
Kimsuky, auch unter den Namen APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (früher Thallium), Nickel Kimball und Velvet Chollima bekannt, ist für seine Neigung zum Diebstahl sensibler, vertraulicher Informationen in offensiven Cyberoperationen bekannt. Ende November 2023 wurden die Bedrohungsakteure vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums für das Sammeln von Informationen zur weiteren Verfolgung der strategischen Ziele Nordkoreas sanktioniert. Dem kollektiven Gegner werden in den letzten Monaten Spear-Phishing-Angriffe zugeschrieben, die darauf abzielen, südkoreanische Organisationen anzugreifen und eine Vielzahl von Backdoors einzusetzen, einschließlich AppleSeed und AlphaSeed.
Die neueste Analyse von S2W zeigt die Verwendung einer Tropfendatei, die sich als Installationsdatei für ein Sicherheitsprogramm des südkoreanischen Unternehmens SGA Solutions ausgibt, um den Stealer zu starten. Der Name Troll Stealer stammt aus dem Pfad „D:/~/repo/golang/src/root.go/s/troll/agent“, der in der Datei eingebettet ist. „Der Tropfendatei wird zusammen mit der Malware als legitimer Installer ausgeführt, und sowohl die Tropfendatei als auch die Malware sind mit einem gültigen, legitimen Zertifikat des Unternehmens ‚D2Innovation Co., LTD‘ signiert, was darauf hinweist, dass das Zertifikat des Unternehmens tatsächlich gestohlen wurde“, so das Unternehmen. Eine herausragende Funktion von Troll Stealer ist die Möglichkeit, den GPKI-Ordner auf infizierten Systemen zu stehlen, was darauf hinweist, dass die Malware möglicherweise in Angriffen auf Verwaltungs- und öffentliche Organisationen im Land eingesetzt wurde.
Das Fehlen von Kimsuky-Kampagnen, bei denen der Diebstahl von GPKI-Ordnern dokumentiert wurde, lässt die Möglichkeit offen, dass dieses neue Verhalten entweder eine Veränderung in der Taktik darstellt oder das Werk eines anderen Bedrohungsakteurs ist, der eng mit der Gruppe verbunden ist und ebenfalls Zugriff auf den Quellcode von AppleSeed und AlphaSeed hat. Es gibt auch Anzeichen dafür, dass der Bedrohungsakteur an einem Go-basierten Backdoor namens GoBear beteiligt sein könnte, das ebenfalls mit einem legitimen Zertifikat von D2Innovation Co., LTD signiert ist und Anweisungen von einem Command-and-Control (C2) Server ausführt. „Die in den Funktionsnamen enthaltenen Zeichenfolgen weisen Überschneidungen mit den Befehlen auf, die von BetaSeed, einer C++-basierten Backdoor-Malware, verwendet werden, die von der Kimsuky-Gruppe eingesetzt wird“, sagte S2W. „Es ist bemerkenswert, dass GoBear eine SOCKS5-Proxy-Funktionalität hinzufügt, die von der Backdoor-Malware der Kimsuky-Gruppe zuvor nicht unterstützt wurde.“