Βορειοκορεάτες κρατικά χορηγοί χάκερ γνωστοί ως APT37 ανακαλύφθηκαν να στοχεύουν δημοσιογράφους που ειδικεύονται στη ΛΔΚ με ένα νέο στέλεχος κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό διανέμεται μέσω μιας επίθεσης phishing που ανακαλύφθηκε για πρώτη φορά από το NK News, έναν αμερικανικό ειδησεογραφικό ιστότοπο αφιερωμένο στην κάλυψη ειδήσεων και στην παροχή έρευνας και ανάλυσης για τη Βόρεια Κορέα, χρησιμοποιώντας πληροφορίες από το εσωτερικό της χώρας.
Η ομάδα hacking APT37, γνωστή και ως Ricochet Chollima, πιστεύεται ότι υποστηρίζεται από την κυβέρνηση της Βόρειας Κορέας, η οποία θεωρεί το ρεπορτάζ ειδήσεων ως εχθρική επιχείρηση και προσπάθησε να χρησιμοποιήσει αυτήν την επίθεση για πρόσβαση σε εξαιρετικά ευαίσθητες πληροφορίες και πιθανή αναγνώριση πηγών δημοσιογράφων.
Αφού NK News ανακάλυψε την επίθεση, επικοινώνησε με τους ειδικούς κακόβουλου λογισμικού στο Stairwell για περαιτέρω βοήθεια, οι οποίοι ανέλαβαν την τεχνική ανάλυση.
Ο Stairwell βρήκε ένα νέο δείγμα κακόβουλου λογισμικού με το όνομα “Goldbackdoor”, το οποίο αξιολογήθηκε ως διάδοχος του “Bluelight”.
Αξίζει να σημειωθεί ότι αυτή δεν είναι η πρώτη φορά που το APT37 συνδέεται με καμπάνιες κακόβουλου λογισμικού που στοχεύουν δημοσιογράφους, με την πιο πρόσφατη να είναι μια αναφορά του Νοεμβρίου 2021 που χρησιμοποιεί το εξαιρετικά προσαρμόσιμο backdoor «Chinotto».
