Noord-Koreaanse hackersgroepen Kimsuky en Lazarus heeft zijn cyberoperaties geïntensiveerd door nieuwe, geavanceerde backdoortools voor toegang op afstand te ontwikkelen. De nieuwe varianten — HttpTroy En VERBLINDENDE KAN — laat zien hoe deze door de staat gesponsorde actoren hun methoden blijven verfijnen om detectie te omzeilen en op de lange termijn toegang te behouden tot gecompromitteerde systemen.
Onderzoekers op het gebied van dreigingsinformatie hebben twee verschillende instrumenten geïdentificeerd: de nieuwe van Kimsuky HttpTroy-achterdeur en de verbeterde versie van de Lazarus-groep BLINDINGCAN-variant. Beide vormen de volgende stap in het cyberarsenaal van Noord-Korea en worden gebruikt bij gerichte aanvallen op strategische doelen in verschillende landen.

Kimsuky-campagne: social engineering en HttpTroy
De operatie van Kimsuky Een specifiek slachtoffer in Zuid-Korea werd aangevallen met behulp van nep-zakelijke communicatie. De aanval begon met een ZIP-bestand dat zich voordeed als een VPN-factuur. Toen het bestand werd geopend, startte het een reeks kwaadaardige processen die uiteindelijk... HttpTroy, een achterdeur die is ontworpen om aanvallers volledige controle over het systeem te geven.
De eerste infectie maakte gebruik van een lichte Go-based druppelaar die een legitiem PDF-document toonde om de gebruiker te misleiden. Het gebruikte eenvoudige XOR-encryptie (sleutel 0x39) om de ingebedde payloads te decoderen en stelde vervolgens persistentie in via een geplande taak die antivirusupdates van AhnLab nabootste.
HttpTroy biedt functies voor het uploaden en downloaden van bestanden, het maken van screenshots, het uitvoeren van opdrachten, het exfiltreren van gegevens en het wissen van sporen. Alle communicatie verloopt via HTTP POST-verzoeken met XOR en Base64-verduistering.

De bijgewerkte BLINDINGCAN van de Lazarus Group
Tegelijkertijd werd waargenomen Lazarus Groep een parallelle aanval uitvoeren in Canada, waar een verbeterde versie van De BLINDINGCAN-tool voor externe toegang werd gebruikt. Onderzoekers ontdekten ook een nieuwe Comebacker-schadeprogramma wat de levering van BLINDINGCAN mogelijk maakte. Deze variant beschikt over verbeterde mechanismen voor dataverzameling en -besturing op afstand, waardoor de spionagecapaciteiten van Lazarus op de lange termijn worden versterkt.
Beide Kimsuky en Lazarus maakt gebruik van geavanceerde methoden om analyse te bemoeilijken, waaronder API-hashing, dynamische stringreconstructie en SIMD-gebaseerde verduistering. Hun doel is duidelijk: activiteiten verbergen en zo lang mogelijk toegang tot systemen met hoge prioriteit behouden.

Dreigingsactoren uit Noord-Korea blijven zich ontwikkelen
De twee campagnes benadrukken een zorgwekkende ontwikkeling in de manier waarop Noord-Koreaanse dreigingsactoren past zich aan moderne beveiligingsoplossingen aan. Door social engineering, aangepaste malware en meerlaagse verduistering te combineren, blijft het Kimsuky en Lazarus een aanzienlijke wereldwijde bedreiging vormen.
Veiligheidsexperts raden verschillende tegenmaatregelen aan:
- Wees op uw hoede voor onverwachte e-mailbijlagen, vooral ZIP-bestanden.
- Houd er rekening mee dat bestanden met de extensie .scr uitvoerbare programma's zijn.
- Zorg ervoor dat beveiligingssoftware en informatie over bedreigingen up-to-date zijn.
- Implementeer gedragsdetectie die verdachte processen na een inbraak kan onthullen.
De opkomst van deze nieuwe instrumenten bevestigt het aanhoudende en adaptieve karakter van Kimsuky en Lazarus. Hun werk onderstreept het belang van continue dreigingsanalyse, geavanceerde monitoring en sterke cyberbeveiliging binnen alle organisaties.
De IT-sector blijft de ontwikkelingen rondom Noord-Korea cyberactiviteiten en de impact ervan op zowel Scandinavische als mondiale bedrijven.








