Atores de ameaças ligados ao estado da Coreia do Norte têm sido observados utilizando ataques de spear-phishing para entregar uma variedade de backdoors e ferramentas, como AppleSeed, Meterpreter e TinyNuke, para assumir o controle de máquinas comprometidas.

Um ponto notável sobre os ataques que usam o AppleSeed é que métodos semelhantes de ataque têm sido usados por muitos anos sem mudanças significativas no malware que são usados em conjunto, segundo o AhnLab Security Emergency Response Center (ASEC).

O Kimsuky, ativo há mais de uma década, é conhecido por seu alvo em uma ampla gama de entidades na Coreia do Sul, antes de expandir seu foco para incluir outras geografias em 2017.

O grupo foi sancionado pelo governo dos EUA no final do mês passado por reunir inteligência para apoiar os objetivos estratégicos da Coreia do Norte.

As campanhas de espionagem do ator de ameaças são realizadas por meio de ataques de spear-phishing contendo documentos de isca maliciosos que, ao serem abertos, culminam na implantação de várias famílias de malware.

Um backdoor baseado em Windows proeminente usado pelo Kimsuky é o AppleSeed (também conhecido como JamBog), um malware DLL que tem sido usado desde maio de 2019 e foi atualizado com uma versão para Android, bem como uma nova variante escrita em Golang chamada AlphaSeed.