A Ameaça Cibernética da Coreia do Norte Evolui com o Malware MoonPeak

Cisco Talos identificou um grupo hacker norte-coreano, “UAT-5394”, usando vários servidores para teste e controle de seu malware. Eles estão trabalhando com uma nova versão de malware chamada “MoonPeak”, que é baseada em um malware anterior chamado XenoRAT.

Em seu relatório, publicado ontem, os pesquisadores afirmam que MoonPeak é baseado no código fonte publicamente disponível para XenoRAT, que foi lançado no GitHub por volta de outubro de 2023.

Embora o MoonPeak retenha muitas das funcionalidades originais do XenoRAT, a análise da Cisco Talos identificou mudanças consistentes em suas variantes, indicando que os atores de ameaças estão modificando e evoluindo o código independentemente da versão de código aberto.

Embora o MoonPeak compartilhe algumas semelhanças com o malware usado por um grupo norte-coreano conhecido como “Kimsuky”, a Cisco Talos afirma que não possui evidências suficientes para confirmar uma ligação direta entre eles.

As pesquisadoras sugerem que o novo malware levanta duas principais possibilidades. Primeiro, UAT-5394 pode ser Kimsuky ou um subgrupo de Kimsuky que está substituindo seu antigo malware por MoonPeak.

Alternativamente, UAT-5394 poderia ser um grupo norte-coreano diferente que está usando técnicas e infraestrutura similares à Kimsuky.

Por enquanto, a Cisco Talos decidiu tratar o UAT-5394 como um grupo separado, até que tenham mais provas para associá-los ao Kimsuky ou confirmá-los como um grupo único dentro das operações de hacking da Coreia do Norte.

Os pesquisadores da Cisco Talos também revelaram que o grupo está usando servidores especiais para testar e atualizar o MoonPeak. A Cisco Talos sugere que o grupo usa esses servidores para baixar e controlar o malware, e eles costumam acessar esses servidores através de VPNs para gerenciar e atualizar seu malware.

Além disso, Cybersecurity News (CN) relata que o malware XenoRAT sofreu várias modificações por seus criadores, incluindo alterações no namespace do cliente, protocolo de comunicação e técnicas de ofuscação.

Essas atualizações são projetadas para aprimorar táticas de evasão e impedir que clientes indesejados interajam com a infraestrutura de comando e controle (C2).

De acordo com o The Cyber Express (TCE), os pesquisadores observaram uma mudança significativa nas táticas do ator em junho de 2024. Eles passaram de usar provedores legítimos de armazenamento na nuvem para hospedar payloads maliciosos em sistemas e servidores que agora possuem e controlam.

O TCE sugere que essa mudança provavelmente visava proteger suas operações de possíveis desligamentos por provedores de serviços na nuvem.

Finalmente, a CN destaca que a rápida velocidade dessas mudanças reflete os esforços do grupo para expandir sua campanha rapidamente, enquanto estabelece mais pontos de entrega e servidores C2.