Peretas Korea Utara terus meningkatkan upayanya dalam melakukan serangan dunia maya. Baru-baru ini, perusahaan keamanan siber Kaspersky mengungkapkan bahwa kelompok peretas Kimsuky, yang juga dikenal sebagai APT43, telah menggunakan varian malware baru yang dijuluki “Durian” untuk melancarkan serangan terhadap dua perusahaan kripto Korea Selatan.

Kimsuky Gunakan Malware Durian

Malware Durian bertindak sebagai penginstal, yang menyebarkan aliran malware secara terus-menerus termasuk backdoor utama Kimsuky, yang dikenal sebagai AppleSeed, alat proxy khusus yang dikenal sebagai LazyLoad, serta alat sah lainnya seperti Chrome Remote Desktop.

"Durian menawarkan fungsionalitas pintu belakang yang komprehensif, memungkinkan eksekusi perintah yang dikirimkan, pengunduhan file tambahan, dan eksfiltrasi file,” kata Kaspersky dalam APT trends report Q1 2024, yang diterbitkan pada 9 Mei.

Berdasarkan temuan dari Kaspersky, serangan menggunakan malware Durian terjadi antara Agustus hingga November 2023. Serangan tersebut melibatkan eksploitasi perangkat lunak Korea Selatan untuk mendapatkan akses awal.

Setelah malware terbentuk dan beroperasi pada sistem korban, Durian mengerahkan alat tambahan, termasuk backdoor AppleSeed milik Kimsuky, dan alat proxy khusus bernama LazyLoad.

Menariknya, alat LazyLoad juga telah digunakan oleh Andariel, sub-grup kelompok peretas terkenal Korea Utara, Lazarus Group.

Berdasarkan laporan, Kimsuky dibentuk setidaknya tahun 2012 dan berada di bawah Biro Umum Pengintaian Korea Utara (RGB), badan intelijen militer negara tersebut.

Serangan Siber oleh Kimsuky 

Grup Kimsuky diketahui telah melakukan berbagai serangan phishing melalui email untuk mencuri kripto. Pada bulan Desember 2023, kelompok tersebut menyamar sebagai perwakilan lembaga pemerintah Korea Selatan dan jurnalis untuk mencuri aset kripto. Sebanyak 1,468 orang menjadi korban peretas kripto antara Maret dan Oktober 2023, menurut laporan polisi.

Beberapa korban juga termasuk pensiunan pejabat pemerintah dari bidang diplomasi, militer dan keamanan nasional. Para pelaku dilaporkan mengirim email phishing yang tampak sah untuk melakukan tindakan tersebut.

Kelompok peretas ini juga sebelumnya menargetkan perusahaan pertahanan dirgantara Rusia dengan memanfaatkan pandemi virus corona. Menurut laporan Kommersant, RT-Inform, bagian keamanan TI dari badan teknologi milik negara Rusia Rostec, telah terjadi peningkatan jumlah serangan siber pada jaringan TI selama pandemi dari bulan April hingga September 2020. Namun, mereka tidak menyangkal atau membenarkan laporan serangan Kimsuky.