Kimsuky och Lazarus bakom nya bakdörrsattacker

oktober 31, 2025

Cyberattack från Kimsuky och Lazarus – avancerade hotaktörer riktade mot utvecklare

Kimsuky- och Lazarus-gruppernas attacker mot utvecklare och CI/CD-miljöer.

Nordkoreanska hackargrupperna Kimsuky och Lazarus har intensifierat sina cyberoperationer genom att utveckla nya, sofistikerade bakdörrsverktyg för fjärråtkomst. De nya varianterna — HttpTroy och BLINDINGCAN — visar hur dessa statssponsrade aktörer fortsätter att förfina sina metoder för att undvika upptäckt och upprätthålla långvarig åtkomst till komprometterade system.

Forskare inom hotinformation har identifierat två distinkta verktyg: Kimsukys nya HttpTroy-bakdörr och Lazarus-gruppens uppgraderade BLINDINGCAN-variant. Båda representerar nästa steg i Nordkoreas cyberarsenal och används i riktade attacker mot strategiska mål i flera länder.

An organizational chart titled 'Democratic People’s Republic of Korea (DPRK, also called North Korea): Threat Actors under the Reconnaissance General Bureau.' The chart illustrates the connection between the Reconnaissance General Bureau and various cyber threat groups such as Alluring Pisces, Gleaming Pisces, Jumpy Pisces, Selective Pisces, Slow Pisces, and Sparkling Pisces, each with associated aliases.

Kimsuky-kampanj: social ingenjörskonst och HttpTroy

Operationen från Kimsuky riktade sig mot ett specifikt offer i Sydkorea med hjälp av en falsk affärskommunikation. Attackkedjan började med ett ZIP-arkiv som utgav sig för att vara en VPN-faktura. När filen öppnades startades en kedja av skadliga processer som till slut installerade HttpTroy, en bakdörr designad för att ge angriparna full kontroll över systemet.

Den initiala infektionen utnyttjade en lätt Go-baserad dropper som visade ett legitimt PDF-dokument för att lura användaren. Den använde enkel XOR-kryptering (nyckel 0x39) för att dekryptera sina inbäddade nyttolaster och etablerade sedan persistens via en schemalagd uppgift som imiterade antivirusuppdateringar från AhnLab.

HttpTroy erbjuder funktioner för att ladda upp och ladda ner filer, ta skärmdumpar, köra kommandon, exfiltrera data och radera spår. All kommunikation sker via HTTP POST-förfrågningar med XOR- och Base64-obfuskering.

Lazarus-gruppens uppdaterade BLINDINGCAN

Samtidigt observerades Lazarus Group genomföra en parallell attack i Kanada, där en förbättrad version av BLINDINGCAN-fjärråtkomstverktyget användes. Forskare upptäckte även ett nytt Comebacker-skadprogram som underlättade leveransen av BLINDINGCAN. Denna variant uppvisar förbättrade mekanismer för datainsamling och fjärrkontroll, vilket stärker Lazarus långsiktiga spionagekapacitet.

Både Kimsuky och Lazarus använder avancerade metoder för att försvåra analys, bland annat API-hashing, dynamisk strängrekonstruktion och SIMD-baserad obfuskation. Deras mål är tydligt: att dölja aktivitet och behålla åtkomst till högt prioriterade system så länge som möjligt.

Hotaktörer från Nordkorea fortsätter utvecklas

De två kampanjerna belyser en oroande utveckling i hur Nordkoreanska hotaktörer anpassar sig till moderna säkerhetslösningar. Genom att kombinera social ingenjörskonst, skräddarsydd skadlig kod och flerlagers obfuskering fortsätter Kimsuky och Lazarus att utgöra ett betydande globalt hot.

Säkerhetsexperter rekommenderar flera motåtgärder:

Var misstänksam mot oväntade e-postbilagor, särskilt ZIP-filer.
Kom ihåg att filer med .scr-tillägg är körbara program.
Håll säkerhetsprogramvara och hotinformation uppdaterad.
Implementera beteendedetektering som kan avslöja misstänkta processer efter intrång.

Framväxten av dessa nya verktyg bekräftar den ihärdiga och adaptiva naturen hos Kimsuky och Lazarus. Deras arbete understryker vikten av kontinuerlig hotanalys, avancerad övervakning och stark cybersäkerhet inom alla organisationer.
IT-Branschen fortsätter att bevaka utvecklingen kring Nordkoreas cyberaktiviteter och deras påverkan på både nordiska och globala företag.

Advanced-Persistent-Threat-Profile-Lazarus-February-2024 Download