Kimsuky og Lazarus står bak nye bakdørsangrep

31. oktober 2025

Cyberangrep fra Kimsuky og Lazarus – avanserte trusselaktører rettet mot utviklere

Kimsuky- og Lazarus-gruppenes angrep på utviklere og CI/CD-miljøer.

Nordkoreanske hackergrupper Kimsuky og Lasarus har intensivert sine cyberoperasjoner ved å utvikle nye, sofistikerte verktøy for fjerntilgang med bakdører. De nye variantene – HttpTroy og BLINDINGCAN – viser hvordan disse statsstøttede aktørene fortsetter å forbedre metodene sine for å unngå oppdagelse og opprettholde langsiktig tilgang til kompromitterte systemer.

Forskere innen trusselintelligens har identifisert to forskjellige verktøy: Kimsukys nye HttpTroy-bakdør og Lazarus-gruppens oppgraderte BLINDINGCAN-varianten. Begge representerer det neste steget i Nord-Koreas cyberarsenal og brukes i målrettede angrep mot strategiske mål i flere land.

Et organisasjonskart med tittelen 'Den demokratiske folkerepublikken Korea (DPRK, også kalt Nord-Korea): Trusselaktører under Reconnaissance General Bureau'. Diagrammet illustrerer forbindelsen mellom Reconnaissance General Bureau og ulike cybertrusselgrupper som Alluring Pisces, Gleaming Pisces, Jumpy Pisces, Selective Pisces, Slow Pisces og Sparkling Pisces, hver med tilhørende alias.

Kimsuky-kampanjen: sosial manipulering og HttpTroy

Operasjonen fra Kimsuky angrepet et spesifikt offer i Sør-Korea ved hjelp av falsk forretningskommunikasjon. Angrepskjeden startet med et ZIP-arkiv som utga seg for å være en VPN-faktura. Da filen ble åpnet, startet den en kjede med ondsinnede prosesser som til slutt installerte HttpTroy, en bakdør designet for å gi angripere full kontroll over systemet.

Den første infeksjonen utnyttet en liten Go-basert dropper som viste et legitimt PDF-dokument for å lure brukeren. Den brukte enkel XOR-kryptering (nøkkel 0x39) for å dekryptere de innebygde nyttelastene og etablerte deretter persistens via en planlagt oppgave som etterlignet antivirusoppdateringer fra AhnLab.

HttpTroy tilbyr funksjoner for å laste opp og laste ned filer, ta skjermbilder, kjøre kommandoer, filtrere data og slette spor. All kommunikasjon skjer via HTTP POST-forespørsler med XOR og Base64-obfuskasjon.

Lazarus-gruppens oppdaterte BLINDINGCAN

Samtidig ble det observert Lazarus-gruppen utføre et parallelt angrep i Canada, hvor en forbedret versjon av BLINDINGCAN-verktøyet for fjerntilgang ble brukt. Forskere oppdaget også en ny Comebacker-skadeprogram noe som muliggjorde leveringen av BLINDINGCAN. Denne varianten viser forbedrede mekanismer for datainnsamling og fjernkontroll, noe som styrker Lazarus' langsiktige spionasjekapasiteter.

Både Kimsuky og Lasarus bruker avanserte metoder for å vanskeliggjøre analyse, inkludert API-hashing, dynamisk strengrekonstruksjon og SIMD-basert obfuskering. Målet deres er klart: å skjule aktivitet og opprettholde tilgang til høyprioriterte systemer så lenge som mulig.

Trusselaktører fra Nord-Korea fortsetter å utvikle seg

De to kampanjene fremhever en bekymringsfull utvikling i hvordan Nordkoreanske trusselaktører tilpasser seg moderne sikkerhetsløsninger. Ved å kombinere sosial manipulering, tilpasset skadelig programvare og flerlags obfuskasjon, fortsetter den Kimsuky og Lasarus å utgjøre en betydelig global trussel.

Sikkerhetseksperter anbefaler flere mottiltak:

Vær skeptisk til uventede e-postvedlegg, spesielt ZIP-filer.
Husk at filer med filtypen .scr er kjørbare programmer.
Hold sikkerhetsprogramvare og trusselinformasjon oppdatert.
Implementer atferdsdeteksjon som kan avdekke mistenkelige prosesser etter et innbrudd.

Fremveksten av disse nye verktøyene bekrefter den vedvarende og tilpasningsdyktige naturen til Kimsuky og Lasarus. Arbeidet deres understreker viktigheten av kontinuerlig trusselanalyse, avansert overvåking og sterk cybersikkerhet i alle organisasjoner.
IT-bransjen fortsetter å følge utviklingen rundt Nord-Korea cyberaktiviteter og deres innvirkning på både nordiske og globale selskaper.

Avansert-vedvarende-trusselprofil-Lazarus-februar-2024 Last ned