Säkerhetsforskare på Cisco Talos har analyserat en nyligen upptäckt trojan, döpt till MoonPeak, som kopplas till en statsstödd nordkoreansk hackergrupp som specialiserar sig på cyberspionage.
MoonPeak är en vidareutveckling av den vanligt förekommande skadliga programvaran XenoRAT. Syftet med programvaran är att få fjärråtkomst till måltavlans datorer eller system. Under 2024 har ett stort antal fjärråtkomstangrepp upptäckts av olika säkerhetsleverantörer, där huvudsyftet ofta har varit att stjäla känslig information. Det osäkra omvärldsläget innebär att stora resurser läggs på olika former av cyberspionage – men samtidigt att kartläggningen och säkerhetsåtgärderna blir prioriterade områden.
Enligt Cisco Talos forskarteam finns det tecken på att gruppen bakom MoonPeak, som benämns UAT-5394, uppvisar likheter med en ökänd nordkoreansk hackergrupp, Kimsuky, som under de senaste tio åren pekats ut som ansvariga för en lång rad cyberattacker mot myndigheter och kritisk infrastruktur i Sydkorea. Under 2020 pekades gruppen också ut som ansvariga för att ha försökt hacka flera representanter i FN:s säkerhetsråd.
Det finns idag dock inte tillräckligt med bevis för att knyta UAT-5394 direkt till Kimsuky, konstaterar rapportförfattarna.
MoonPeak har en mängd funktioner för att hämta information och manipulera infekterade servrar på olika sätt, genom att starta eller stoppa processer och ladda upp och installera ytterligare skadeprogram.
I kartläggningen har Cisco Talos också undersökt tillvägagångssätten för att distribuera MoonPeak, och konstaterar att hackergruppen övergått från att använda legitima lagringstjänster till egna servrar. Den nya taktiken är sannolikt en försiktighetsåtgärd för att minska risken för upptäckt efter att XenoRAT användes i en storskalig attack av andra aktörer tidigare i år.
Gruppen har också använt sig av servrar som tidigare även knutits till den Rysslandskopplade hackergruppen Gamaredon.
Under granskningen har Cisco Talos forskare följt utvecklingen av programvaran, där koden på olika sätt ändrats för att försöka försvåra upptäckt.
”UAT-5394 fortsätter att lägga till nya och utökade verktyg. Det snabba bytet av underliggande infrastruktur pekar mot att gruppens mål är att snabbt utöka sin kampanj med nya drop points och kommandoservrar”, konstaterar rapportförfattarna.