Andariel, un gruppo di cybercriminali nord-coreani, ha sviluppato nuovi strumenti per attaccare organizzazioni e istituzioni in Corea del Sud. Come sottogruppo di Lazarus, Andariel ha migliorato le proprie tecniche di distribuzione dei malware, creando anche numerose varianti scritte in Go.
Recentemente, i ricercatori del Centro di Risposta alle Emergenze di Sicurezza di AhnLab (ASEC) hanno monitorato le attività del gruppo e hanno scoperto che Andariel sta utilizzando il software Innorix Agent. Originariamente progettato per il trasferimento di file tra dispositivi in rete, il gruppo lo sta ora utilizzando non solo per scaricare malware dal server C2, ma anche per creare direttamente i file del software malevolo.
Tra i nuovi strumenti utilizzati da Andariel c’è Black RAT, una backdoor scritta in Go che può scaricare e installare file sui dispositivi, ottenere una lista di cartelle e file e catturare screenshot. Inoltre, il gruppo ha impiegato il malware Goat RAT, sfruttando Innorix Agent per installarlo nel dispositivo con il nome “iexplorer.exe”.
In parallelo, il gruppo ha utilizzato AndarLoader, un downloader che permette di scaricare ed eseguire file .NET da fonti esterne. AndarLoader può anche installare Mimikatz nel dispositivo infetto per ottenere le credenziali di accesso al sistema.
Infine, Andariel ha creato un nuovo malware chiamato DurianBeacon, disponibile in due versioni, una scritta in Go e l’altra in Rust. Entrambe le backdoor possono comunicare con il server C2 dell’attaccante e raccogliere informazioni sul sistema compromesso (nome utente, nome del computer, architettura, ecc.).
Andariel continua a mettere a punto le proprie tecniche di attacco, rappresentando una minaccia significativa per le organizzazioni sud-coreane. È importante che queste organizzazioni si proteggano adeguatamente attraverso l’uso di soluzioni di sicurezza avanzate e la consapevolezza degli utenti riguardo alle possibili minacce informatiche.