Gli hacker nordcoreani hanno recentemente implementato due nuove varianti di malware, denominate KLogEXE e FPSpy, per attacchi mirati. Questa attività è attribuita a un gruppo di cybercriminali noto come Kimsuky, conosciuto anche con vari altri nomi come APT43, Black Banshee, e Velvet Chollima. Gli esperti di Palo Alto Networks Unit 42, Daniel Frank e Lior Rochberger, hanno sottolineato come questi nuovi campioni arricchiscano l'arsenale già vasto del gruppo Sparkling Pisces, dimostrando la continua evoluzione e le crescenti capacità del gruppo.

Attivo almeno dal 2012, Kimsuky è noto per la sua abilità nel phishing mirato, ingannando le vittime a scaricare malware tramite email che sembrano provenire da fonti affidabili. L'analisi dell'infrastruttura di Sparkling Pisces da parte di Unit 42 ha identificato due nuovi eseguibili portatili chiamati KLogEXE e FPSpy. Assaf Dahan, Direttore della Ricerca sulle Minacce presso Unit 42 di Palo Alto Networks, ha dichiarato che questi malware vengono distribuiti principalmente tramite attacchi di spear-phishing. Le email sono attentamente elaborate per convincere i destinatari a scaricare un file ZIP allegato e a estrarre i file dannosi, che una volta eseguiti, attivano la catena di infezione, portando infine all'installazione di questi malware.

KLogEXE

KLogEXE è una versione C++ del keylogger basato su PowerShell chiamato InfoKey, precedentemente identificato da JPCERT/CC in una campagna di Kimsuky che mirava a organizzazioni giapponesi. Questo malware è dotato di funzionalità per raccogliere e esfiltrare informazioni sulle applicazioni in esecuzione, sui tasti digitati e sui clic del mouse.

FPSpy

FPSpy, invece, è una variante del backdoor descritto da AhnLab nel 2022, con sovrapposizioni a un malware documentato da Cyberseason sotto il nome KGH_SPY nel 2020. Oltre al keylogging, FPSpy è progettato per raccogliere informazioni di sistema, scaricare ed eseguire ulteriori payload, eseguire comandi arbitrari e enumerare unità, cartelle e file sul dispositivo infetto.

Unit 42 ha anche identificato somiglianze nel codice sorgente di KLogEXE e FPSpy, suggerendo che sono probabilmente opera dello stesso autore. Sebbene Sparkling Pisces abbia attaccato in passato varie regioni e industrie, i principali obiettivi di questa campagna sembrano essere organizzazioni giapponesi e sudcoreane. Dahan ha affermato che, data la natura mirata e selettiva di queste campagne, è improbabile che si diffondano ampiamente, ma piuttosto che rimangano contenute a pochi paesi selezionati, principalmente Giappone e Corea del Sud, e a un numero limitato di settori.