Aktor ancaman yang memiliki hubungan dengan Korea Utara telah terlihat memanfaatkan dua jenis malware baru yang dijuluki KLogEXE dan FPSpy.
Aktivitas tersebut telah dikaitkan dengan musuh yang dilacak sebagai Kimsuky, yang juga dikenal sebagai APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (sebelumnya Thallium), Sparkling Pisces, Springtail, dan Velvet Chollima.
“Sampel-sampel ini menyempurnakan persenjataan Sparkling Pisces yang sudah ekstensif dan menunjukkan evolusi berkelanjutan serta peningkatan kemampuan kelompok tersebut,” kata peneliti Unit 42 Palo Alto Networks, Daniel Frank dan Lior Rochberger.
Aktif setidaknya sejak tahun 2012, pelaku ancaman ini dijuluki “raja spear phishing” karena kemampuannya mengelabui korban agar mengunduh malware dengan mengirimkan email yang seolah-olah berasal dari pihak tepercaya.
Analisis Unit 42 terhadap infrastruktur Sparkling Pisces telah mengungkap dua executable portabel baru yang disebut KLogEXE dan FPSpy.
KLogExe adalah versi C++ dari keylogger berbasis PowerShell bernama InfoKey yang disorot oleh JPCERT/CC sehubungan dengan kampanye Kimsuky yang menargetkan organisasi Jepang.
Malware tersebut dilengkapi dengan kemampuan untuk mengumpulkan dan mencuri informasi mengenai aplikasi yang sedang berjalan di stasiun kerja yang terinfeksi, ketukan tombol, dan klik mouse.
Di sisi lain, FPSpy dikatakan sebagai varian dari backdoor yang diungkapkan AhnLab pada tahun 2022, dengan tumpang tindih yang diidentifikasi dengan malware yang didokumentasikan Cyberseason dengan nama KGH_SPY pada akhir tahun 2020.
FPSpy, selain mencatat tombol, juga dirancang untuk mengumpulkan informasi sistem, mengunduh dan menjalankan lebih banyak muatan, menjalankan perintah sembarangan, dan menghitung drive, folder, dan file pada perangkat yang terinfeksi.
Unit 42 mengatakan mereka juga dapat mengidentifikasi titik-titik kesamaan dalam kode sumber KLogExe dan FPSpy, yang menunjukkan bahwa keduanya kemungkinan merupakan karya penulis yang sama.
“Sebagian besar target yang kami amati selama penelitian kami berasal dari Korea Selatan dan Jepang, yang sesuai dengan penargetan Kimsuky sebelumnya,” kata para peneliti.