O grupo de ameaças norte-coreano conhecido como Andariel foi observado utilizando um arsenal de ferramentas maliciosas em seus ataques cibernéticos contra corporações e organizações no sul do país.

“Uma característica dos ataques identificados em 2023 é que existem várias cepas de malware desenvolvidas na linguagem Go”, afirmou o AhnLab Security Emergency Response Center (ASEC) em um estudo detalhado divulgado na semana passada.

Andariel, também conhecido pelos nomes Nicket Hyatt ou Silent Chollima, é um subgrupo do Lazarus Group, ativo desde pelo menos 2008.

Instituições financeiras, contratantes de defesa, agências governamentais, universidades, fornecedores de cibersegurança e empresas de energia estão entre os principais alvos do grupo patrocinado pelo estado para financiar atividades de espionagem e gerar receita ilegalmente para o país.

As cadeias de ataque montadas pelo adversário utilizaram uma variedade de vetores de infecção inicial, como spear-phishing, watering holes e ataques à cadeia de suprimentos, como ponto de partida para lançar diferentes cargas maliciosas.

Algumas das famílias de malware utilizadas pelo Andariel em seus ataques incluem Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT e EarlyRAT.