Uma investigação conjunta do Hunt.io e da Acronis Threat Research Unit revelou uma extensa malha de infraestrutura ligada a operações da Coreia do Norte, com sinais de atividade recente e ferramentas de apoio ao ataque. A descoberta conecta nós de staging, kits de furto de credenciais e túneis FRP usados para manutenção de acesso.
Descoberta e escopo
Os pesquisadores identificaram vários servidores com diretórios abertos que funcionavam como pontos de preparação rápida para intrusões. Entre os artefatos expostos havia toolkits de roubo de credenciais (MailPassView, WebBrowserPassView, ChromePass), utilitários de exfiltração (rclone), ambientes com Quasar RAT e quase 2 GB de material operacional em um único nó.
Ferramentas e variantes observadas
Foi identificada uma nova variante Linux do backdoor Badcall — família já vinculada ao ataque de supply chain contra a 3CX — que agora inclui mecanismo de logging em /tmp/sslvpn.log. O novo Badcall grava entradas com timestamp e códigos numéricos curtos que permitem aos operadores monitorar rotinas do malware durante a intrusão.
Vetor de acesso e infraestrutura de apoio
Além de payloads e RATs, os analistas descreveram oito nós FRP (Fast Reverse Proxy) operando na porta 9999, distribuídos por VPSs na região APAC. Esses nós atuam como redirecionadores entre hosts comprometidos e servidores de comando, oferecendo persistência quando canais C2 tradicionais são bloqueados.
Evidências técnicas e padrões operacionais
Os autores do relatório destacam reutilização de certificados (assunto hwc-hwp-7779700) que ligam diferentes clusters de IP a um mesmo operador. A presença repetida de diretórios abertos com kits de credential-theft e ferramentas idênticas em múltiplos hosts sugere provisão automatizada e padrões operacionais consistentes entre subgrupos DPRK.
Impacto e implicações para defesa
Para defensores, o trabalho ilustra que análise de infraestrutura (certificados, diretórios expostos, portas FRP abertas) pode fornecer sinais de alerta antes do uso ativo em campanhas maliciosas. Hunt.io recomenda monitorar por diretórios web visíveis contendo ferramentas de furto de credenciais, escaneamento da porta 9999 em provedores APAC/China, e rastrear certificados reutilizados entre hosts expostos.
Evidências e limites
O relatório documenta arquivos e imagens de diretórios abertos e listagens de ferramentas encontradas. Não há, contudo, no material público do resumo, uma lista completa de vítimas finais afetadas nem indicadores de comprometimento com detalhes de exploradores específicos usados em ataques em produção; o foco é a visibilidade da infraestrutura e dos artefatos.
Recomendações práticas
- Inspecionar servidores públicos e buckets para diretórios abertos e artefatos suspeitos.
- Monitorar tráfego e conexões na porta 9999 e procurar binários FRP idênticos entre hosts.
- Aumentar vigilância em certificados TLS com assuntos reutilizados e mapear dependências de infraestrutura.
- Priorizar hunt por ferramentas de credential theft e ambientes de staging semelhantes aos descritos.
Fonte: relatório conjunto de Hunt.io e Acronis, conforme noticiado pela Cyber Security News. Onde faltam detalhes (lista completa de vítimas e indicadores acionáveis), os pesquisadores apontam para publicações técnicas complementares no site do Hunt.io.