Un nuovo allarme cyber arriva dalla Corea del Sud, dove è stato scoperto un sofisticato attacco informatico attribuito al gruppo nordcoreano Kimsuky. I ricercatori hanno individuato una backdoor finora sconosciuta, denominata HttpTroy, diffusa tramite una campagna mirata di spear-phishing. L’attacco ha preso di mira almeno una vittima sudcoreana, sfruttando una finta fattura VPN allegata a una email ingannevole, in formato ZIP, che nascondeva il malware.

L’archivio ZIP conteneva un file SCR camuffato da documento legittimo. L’apertura del file attivava una sequenza d’infezione a tre stadi: un dropper iniziale, un loader chiamato MemLoad e infine la backdoor HttpTroy. Il dropper, scritto in Go, includeva al suo interno un PDF esca, mostrato alla vittima per non destare sospetti, mentre in background avviava MemLoad. Quest’ultimo stabiliva la persistenza creando una task schedulata con il nome “AhnlabUpdate”, simulando un software noto di sicurezza sudcoreana.

Funzionalità principali di HttpTroy

• Trasferimento file
• Cattura screenshot
• Esecuzione di comandi con privilegi elevati
• Caricamento in memoria di eseguibili
• Apertura di reverse shell
• Terminazione processi
• Cancellazione delle tracce

Tutte le comunicazioni col server di comando e controllo avvenivano tramite richieste HTTP POST al dominio load.auraria[.]org.

Offuscamento e tecniche anti-analisi

Un elemento chiave di HttpTroy è l’alto livello di offuscamento: le chiamate API sono nascoste con tecniche di hashing personalizzate, mentre le stringhe vengono cifrate tramite XOR e istruzioni SIMD. Api e stringhe non vengono mai riutilizzate ma ricostruite dinamicamente durante l’esecuzione, rendendo l’analisi statica estremamente complessa.

Nuove attività del gruppo Lazarus

Parallelamente, i ricercatori hanno rilevato nuove attività del gruppo Lazarus, sempre legato alla Corea del Nord, che ha colpito due vittime canadesi con i malware Comebacker e una versione aggiornata di BLINDINGCAN (noto anche come AIRDRY o ZetaNile). Questi strumenti consentono agli attaccanti di eseguire comandi da remoto, rubare file, acquisire dati di sistema e cancellare ogni traccia.

Le campagne Kimsuky e Lazarus dimostrano come gli attori nordcoreani continuino a innovare le loro tecniche, puntando su catene di infezione multi-stadio, payload offuscati e meccanismi di persistenza avanzata. L’evoluzione di strumenti come HttpTroy sottolinea la crescente sofisticazione delle minacce cyber, soprattutto contro target di alto profilo in Asia e nel resto del mondo.