Una nueva amenaza informática de origen norcoreano se está extendiendo en silencio a través de aplicaciones aparentemente inofensivas. Se llama Kospyun sofisticadoware spyware identificado por investigadores de Laboratorio de amenazas de observaciónactivo desde marzo de 2022 y aún en circulación con nuevas muestras detectadas hasta marzo pasado.
Mientras trabaja Kospy: la estrategia de engaño
El spyware se máscara de aplicaciones de servicios públicos como «File Manager «,» Utilidad de actualización de software «o» Seguridad de Kakao«, Y se distribuyó tanto a través de la tienda oficial de Google Play como a través de plataformas de tercera parte como Apkpure. Las aplicaciones ofensivas se eliminaron de Google y los proyectos de Firebase relacionados desactivaron, pero el peligro no se evita.
Lo que hace que Kospy sea particularmente insidioso es su arquitectura de dos fases. El malware inicialmente recupera una configuración de una base de datos de Cloud Firebase, que contiene un interruptor para activar o desactivar las características maliciosas y la dirección del servidor de comando y control (C2). Este enfoque le da a los agresores flexibilidad y resistencia.
Una vez instalado, Kospy verifica que el dispositivo no es un emulador y que la fecha actual es posterior a la de la activación programada. Después de eso, descargue complementos dinámicos que le permitan recopilar una cantidad impresionante de datos confidenciales: Mensajes SMS, llamadas de llamadasubicación geográfica, archivos almacenados, grabaciones de audio, capturas de pantalla e incluso grabar lo que se escribe en el teclado.
La red de espionaje de Corea del Norte: conexiones peligrosas
Según los expertos, Kospy está asociado con el notorio grupo de hackers nordcoreani apt37también conocido como escorruct, activo desde 2012 y especializado en operaciones de espionaje por computadora, principalmente contra Corea del Sur.
Las pruebas recopiladas sugieren que la campaña apunta principalmente a Usuarios de idioma coreano e inglés. La interfaz admite ambos idiomas, adaptándose automáticamente a la configuración del dispositivo.
Particularmente preocupante es el descubrimiento de conexiones de infraestructura con otro grupo norcoreano, Apt43 (también conocido como kimsuky o talio). Uno de los dominios C2 de Kospy, ST0746[.]NET, está conectado a direcciones IP previamente asociadas con ataques con malware Konni, una rata para Windows vinculadas a Apt37 y a la infraestructura utilizada por APT43.
Esta superposición de infraestructuras, objetivos y tácticas entre diferentes grupos de Corea del Norte complica la atribución precisa, pero confirma el creciente compromiso de Pyongyang en las operaciones internacionales de ciberdolponente.