Hackers norte-coreanos estão explorando uma vulnerabilidade em uma atualização de software de VPN para instalar malware e violar redes, conforme alerta o Centro Nacional de Segurança Cibernética da Coreia do Sul (NCSC). O aviso conecta essa atividade com um projeto de modernização de fábricas industriais anunciado pelo presidente norte-coreano Kim Jong-un em janeiro de 2023, suspeitando-se que os hackers estejam tentando roubar segredos comerciais da Coreia do Sul.

Os dois grupos de ameaças implicados nessa atividade são Kimsuky (APT43) e Andariel (APT45), atores patrocinados pelo Estado que já foram ligados ao notório Grupo Lazarus. “A comunidade de informação atribui essas atividades de hacking às organizações Kimsuky e Andariel, sob o Gabinete Geral de Reconhecimento da Coreia do Norte, destacando a natureza sem precedentes de ambas as organizações visando simultaneamente o mesmo setor para objetivos políticos específicos”, alerta o NCSC.

No primeiro caso destacado no aviso, datado de janeiro de 2024, Kimsuky comprometeu o site de uma organização comercial de construção sul-coreana para disseminar malware aos visitantes. De acordo com um relatório da ASEC de fevereiro, quando funcionários tentavam fazer login no site da organização, eram solicitados a instalar um software de segurança chamado “NX_PRNMAN” ou “TrustPKI”.

O segundo caso ocorreu em abril de 2024, quando o NCSC diz que os atores da ameaça Andariel exploraram uma vulnerabilidade no protocolo de comunicação de um software de VPN doméstico para enviar falsas atualizações de software que instalam o malware DoraRAT. “Em abril de 2024, o grupo de hackers Andariel explorou vulnerabilidades em softwares de segurança domésticos (VPN e segurança de servidores) para substituir arquivos de atualização por malware, distribuindo malware de controle remoto chamado ‘DoraRAT’ para empresas de construção e maquinaria”, explica uma versão traduzida da máquina do aviso do NCSC.

O NCSC afirma que a vulnerabilidade permitiu aos atores da ameaça falsificar pacotes para PCs dos usuários, que os identificaram erroneamente como atualizações legítimas do servidor, permitindo a instalação das versões maliciosas.