Baptisée Kimsuky, cette campagne est limitée et extrêmement ciblée. Selon l’analyse technique les pirates étaient intéressés  par 11 organizations basées en Corée du Sud et deux entités en Chine. La liste des victimes inclut le Sejong Institute, le Korea Institute For Defense Analyses (KIDA), le Ministère de l’Unification de Corée du Sud, la Hyundai Merchant Marine et les Partisans de l’unification coréenne.

Bien que le mécanisme de propagation initiale reste inconnu, les chercheurs de Kaspersky pensent que le logiciel malveillant Kimsuky est probablement diffusé par le biais d’e-mails de phishing et est capable de réaliser les fonctions d’espionnage suivantes: enregistrement de frappes, collecte de listes de répertoires, accès par commande à distance et vol de documents HWP (liés à l’application de traitement de texte sud-coréenne du progiciel Hancom Office, largement utilisé par l’administration locale). Les pirates utilisent une version modifiée de l’application d’accès à distance TeamViewer et s’en servent comme d’un backdoor pour pirater les fichiers des machines infectées.

 

Le maliciel Kimsuky contient un programme malveillant dédié conçu pour dérober des fichiers HWP, laissant penser que ces documents sont l’un des principaux objectifs du groupe.

 

Des indices trouvés par les experts du Kaspersky Lab pourraient conduire à des pirates en Corée du Nord. Premièrement, les profils des cibles parlent d’eux-mêmes – des universités sud-coréennes menant des recherches sur des affaires internationales, élaborant des politiques de défense pour le gouvernement, une entreprise nationale de transport maritime et des groupes de soutien pour l’unification coréenne.

 

Deuxièmement, une séquence du chemin de compilation contenant des mots coréens (par exemple, certains d’entre eux pourraient se traduire par les commandes « attaquer » et « achever »).

 

Troisièmement, deux adresses e-mail auxquelles des bots ont envoyé des rapports de statut et transmis des informations système infectées par le biais de pièces jointes – iop110112@hotmail.com et rsh1213@hotmail.com – sont enregistrées avec les noms en « Kim » suivants: « kimsukyang » et « Kim asdfa ». Même si ces données d’enregistrement ne fournissent pas des informations précises sur les pirates, les adresses IP sources des pirates correspondent au profil: il y a 10 adresses IP d’origine, et toutes se situent dans les séries du Jilin Province Network et du Liaoning Province Network en Chine. On pense également que les ISP fournissant un accès Internet dans ces provinces couvrent certaines parties de la Corée du Nord.

 

Autre caractéristique « géopolitique » intéressante du logiciel malveillant Kimsuky: il désactive uniquement des outils de sécurité d’AhnLab, une société anti-malware sud-coréenne.