Kimsuky perfectionne son arsenal : un RDP Wrapper sur mesure pour des attaques furtives

Le groupe nord-coréen Kimsuky, adepte du cyberespionnage, s’appuie sur de nouveaux outils dont un RDP Wrapper personnalisé pour accéder directement aux machines compromises. Faisons le point.

D’après les chercheurs d’AhnLab Security Intelligence Center (ASEC), les pirates de Kimsuky utilisent désormais des outils d’accès distant personnalisés, délaissant progressivement les portes dérobées trop bruyantes comme PebbleDash.

Les attaques de Kimsuky observées récemment débutent par des e-mails de spear-phishing, au sein desquels les cybercriminels ajoutent un fichier malveillant correspondant à un raccourci (.LNK), déguisé en document PDF ou Word. Un travail de reconnaissance est probablement effectué en amont par les pirates puisque les e-mails contiennent le nom du destinataire et le nom de son entreprise.