L’ultimo allarme è stato lanciato il primo ottobre 2020 dalla Cisa (Cybersecurity and Infrastructure Security Agency) e dal Dhs (Department of Homeland Security) statunitensi, che hanno attribuito a un sofisticato threat actor il ritorno in pista di un vecchio malware, IAmTheKing, che ora è conosciuto con il nome di SlothfulMedia. A individuare il legame tra i due attori è stata Kaspersky, che aveva già indagato sugli stessi hacker giugno 2018. Grazie a questa analisi i ricercatori hanno stabilito che gli autori del malware potrebbero essere supportati da un governo e avere come obiettivo primario quello di raccogliere informazioni da soggetti di alto profilo, principalmente in Russia.
Le informazioni su questa serie di attività, si legge in una nota di Kaspersky, sono state rese note solo di recente, ma IAmTheKing è operativo da diversi anni. L’autore possiede un toolset in continua evoluzione e ha un’ottima conoscenza delle metodologie tradizionali di penetration testing e di Powershell, uno strumento di task automation e di gestione della configurazione.
Negli ultimi due anni, i ricercatori di Kaspersky hanno individuato tre famiglie di malware sviluppate dallo stesso threat actor, che hanno rinominato KingOfHearts, QueenOfHearts e QueenOfClubs.
Tutte e tre le famiglie di malware sono backdoor, ovvero programmi che forniscono accesso remoto al dispositivo infetto. Il set di strumenti utilizzati dal threat actor comprende inoltre anche un vasto arsenale di script Powershell, un dropper JackOfHearts e una utility di screenshot.
Avvalendosi prevalentemente di tecniche di spear phishing, spiega Kaspersky, gli attaccanti hanno infettato i dispositivi delle vittime utilizzando dei malware e hanno poi sfruttato noti programmi per i test di sicurezza per compromettere altre unità del network.
E se fino a poco tempo fa IAmTheKing si era focalizzato unicamente sulla raccolta di informazioni che riguardavano soggetti russi di alto profilo (tra le vittime del threat actor figuravano enti governativi e industrie della difesa, agenzie pubbliche per lo sviluppo, università e aziende del settore energetico), nel 2020, Kaspersky ha rivelato rari casi di incidenti legati ad IAmTheKing nei Paesi dell’Asia centrale e dell’Europa dell’Est., mentre il Cisa del Dhs ha anche segnalato attività in Ucraina e in Malesia.
“IAmTheKing è operativo già da diversi anni e svolge un’attività molto peculiare, mentre il suo toolset, seppure piuttosto sviluppato, non può essere considerato un prodotto tecnicamente eccellente – afferma Ivan Kwiatkowski, senior security researcher del Global Research and Analysis Team di Kaspersky – In seguito all’annuncio ufficiale relativo a questa minaccia, sempre più organizzazioni ne esamineranno ora il toolset. Pertanto, per favorire la cooperazione tra le community e aiutare altri specialisti della sicurezza informatica a sviluppare delle soluzioni di difesa contro questo threat actor, abbiamo voluto mettere a disposizione i dati che abbiamo raccolto finora. Tuttavia, ora che le informazioni su IAmTheKing sono di dominio pubblico, questo threat actor potrebbe tentare di adeguarsi aggiornando ulteriormente il suo toolset. Continueremo a indagare su questo threat actor e a condividere le informazioni sulla sua attività con i nostri utenti”.