El gobierno de Estados Unidos ha publicado una alerta de seguridad sobre una nueva cepa de malware utilizada por los piratas informáticos de Corea del Norte, que el gobierno ha denominado como HOPLIGHT. El informe, escrito por analistas de malware del Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI), atribuye el malware HOPLIGHT a HIDDEN COBRA, la designación del gobierno de los EE. UU. para el principal grupo de piratería apoyado por el gobierno de Corea del Norte. Según la alerta conjunta DHS-FBI, HOPLIGHT parece ser un troyano de puerta trasera muy potente.
En los sistemas infectados, el malware recopila información sobre el dispositivo del objetivo y envía los datos a un servidor remoto. También puede recibir comandos de su servidor de comando y control (C&C) y ejecutar varias operaciones en los hosts infectados.
HOPLIGHT es un nuevo malware muy potente
Según el informe del DHS-FBI, HOPLIGHT puede:
- Leer, escribir y mover archivos.
- Enumerar las unidades del sistema
- Crear y terminar procesos.
- Inyectar código en los procesos en ejecución.
- Crear, iniciar y detener servicios.
- Modificar la configuración del registro
- Conectarse a un host remoto
- Subir y descargar archivos.
El malware también utiliza una aplicación proxy incorporada para enmascarar sus comunicaciones con el servidor remoto de comando y control (C&C). “Los proxies tienen la capacidad de generar sesiones falsas de reconocimiento de TLS utilizando certificados SSL públicos válidos, disfrazando conexiones de red con actores maliciosos remotos“, dijeron los analistas del DHS y el FBI. El informe incluye firmas digitales para nueve archivos asociados con el malware. Ninguno de los archivos estaba disponible previamente en VirusTotal.
“Las variantes del malware HOPLIGHT atribuidas a la actividad cibernética malintencionada de Corea del Norte son nuevas, no se ha publicado públicamente hasta hoy”, dijo a ZDNet un funcionario de la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA) del DHS. “HOPLIGHT se ha detectado en uso a nivel mundial en una amplia gama de actividades maliciosas de HIDDEN COBRA, no específicas de un sector de infraestructura crítica en particular”.
El informe HOPLIGHT de hoy es el décimo sexto informe del DHS y del FBI sobre el malware norcoreano. Las agencias publicaron previamente informes sobre WannaCry, DeltaCharlie (dos informes), Volgmer, FALLCHILL, BANKSHOT, BADCALL, HARDRAIN, SHARPKNOT, un troyano / gusano de acceso remoto sin nombre, Joanap y Brambul, TYPEFRAME, KEYMARBLE, y FASTCash (dos informes).