Una familia de troyanos de acceso remoto (RAT) recién descubierta, MoonPeak, ha sido vinculada a un grupo de amenazas afiliado a Corea del Norte conocido como UAT-5394.
Este sofisticado malware, basado en el XenoRAT de código abierto, está en desarrollo activo y presenta mejoras significativas destinadas a evadir la detección y mejorar la funcionalidad, según una investigación reciente de Cisco Talos.
UAT-5394, un actor emergente en el panorama de amenazas cibernéticas de Corea del Norte, comparte ciertas tácticas, técnicas y procedimientos (TTP) con el grupo Kimsuky, patrocinado por el estado norcoreano y más establecido.
Aunque no hay evidencia técnica concluyente que vincule a UAT-5394 directamente con Kimsuky, la superposición en los patrones operativos plantea la posibilidad de que UAT-5394 pueda ser un subgrupo dentro de Kimsuky u otra entidad que tome prestadas las estrategias de Kimsuky.
Independientemente de la conexión, inicialmente se observó que el grupo utilizaba proveedores de almacenamiento en la nube para alojar cargas útiles maliciosas, pero desde entonces se ha trasladado a servidores controlados por los atacantes, probablemente para mitigar los riesgos asociados con el cierre de ubicaciones en la nube por parte de los proveedores de servicios.
El malware MoonPeak también ha evolucionado a través de múltiples versiones, cada iteración presenta nuevas capas de ofuscación y protocolos de comunicación únicos.
Estas modificaciones, que incluyen cambios en el espacio de nombres del malware y las técnicas de compresión, están diseñadas para evitar el análisis y prevenir el acceso no autorizado a los servidores de comando y control (C2) del malware.
La investigación también reveló que UAT-5394 ha establecido una red compleja de servidores C2 e infraestructura de prueba, lo que indica un alto nivel de organización y planificación.
Asimismo, la empresa de seguridad mencionó que la rápida expansión de la infraestructura indica la intención del grupo de escalar sus operaciones, lo que representa una amenaza creciente para la ciberseguridad global. La posible conexión con Kimsuky amplifica la preocupación en torno a esta amenaza emergente.
