Il Lazarus Group, noto gruppo di cybercriminali collegato alla Corea del Nord, ha recentemente ampliato il proprio arsenale di malware impiegando tre nuove minacce chiamate PondRAT, ThemeForestRAT e RemotePE. Secondo recenti analisi di Fox-IT (NCC Group), queste campagne malevole sono state osservate nel 2024 contro organizzazioni operanti nel settore della finanza decentralizzata (DeFi) e hanno portato al compromesso di sistemi aziendali, sfruttando tecniche di ingegneria sociale e strumenti avanzati di accesso remoto.

L’attacco e le tecniche di compromissione

L’attacco inizia con la compromissione di un dipendente tramite una falsa identità su Telegram, fingendo di essere un collaboratore di una società di trading. Utilizzando siti web fasulli che imitano servizi come Calendly e Picktime, i criminali inducono la vittima a pianificare incontri che in realtà servono a distribuire il malware. Anche se il vettore di accesso iniziale non è stato confermato, esistono indizi che suggeriscono l’utilizzo di exploit zero-day nel browser Chrome per ottenere il primo accesso.

PondRAT e strumenti ausiliari

Una volta ottenuto il controllo, gli attaccanti installano un loader chiamato PerfhLoader che distribuisce PondRAT, una variante ridotta del già noto POOLRAT. PondRAT offre funzioni basilari tipiche dei RAT (Remote Access Trojan), come la lettura e scrittura di file, l’esecuzione di processi e l’iniezione di shellcode. Inoltre, vengono dispiegati strumenti ausiliari come keylogger, stealer di credenziali Chrome, screenshotter, Mimikatz e proxy per la gestione delle connessioni, incrementando il livello di compromissione della rete.

ThemeForestRAT: evoluzione e caratteristiche

Durante le prime settimane di presenza sulla rete bersaglio, i cybercriminali utilizzano PondRAT in tandem con ThemeForestRAT. Quest’ultimo, ancora più sofisticato, viene eseguito direttamente in memoria (fileless) e permette di gestire fino a venti comandi diversi tra cui l’enumerazione di file e cartelle, download di file, esecuzione di comandi remoti, iniezione di codice e manipolazione dei timestamp dei file. ThemeForestRAT mostra similitudini con il malware RomeoGolf, già associato al gruppo Lazarus in attacchi precedenti.

RemotePE e consolidamento della compromissione

Consolidato il controllo, gli attaccanti passano infine a RemotePE, una minaccia più avanzata scritta in C++ che viene scaricata da un server di comando e controllo tramite un loader dedicato. RemotePE è probabilmente riservato agli obiettivi più sensibili, offrendo capacità di accesso remoto e persistenza di alto livello.

Questa evoluzione conferma la crescente complessità delle campagne del Lazarus Group e la necessità per le aziende di mantenere aggiornate le difese contro RAT e tecniche di ingegneria sociale sempre più sofisticate.