一种名为 MoonPeak 的新远程访问木马已被发现被国家资助的朝鲜威胁活动集群用作新活动的一部分。

思科Talos将恶意网络活动归咎于一个名为UAT-5394的黑客组织，该组织表示，该组织与代号为Kimsuky的已知民族国家行为者存在一定程度的战术重叠。

MoonPeak 正在由威胁参与者积极开发，是开源 Xeno RAT 恶意软件的变体，该恶意软件以前作为网络钓鱼攻击的一部分部署，旨在从 Dropbox、Google Drive 和 Microsoft OneDrive 等参与者控制的云服务中检索有效载荷。

Xeno RAT 的一些关键功能包括能够加载额外的插件、启动和终止进程以及与命令和控制 （C2） 服务器进行通信。

塔洛斯说，这两个入侵集之间的共同点要么表明UAT-5394实际上是Kimsuky（或其子组织），要么是朝鲜网络机构中的另一个黑客团队，他们从Kimsuky那里借用了工具箱。

实现该活动的关键是使用新的基础设施，包括 C2 服务器、有效载荷托管站点和测试虚拟机，这些都是为了产生 MoonPeak 的新迭代而创建的。

“C2服务器托管恶意工件供下载，然后用于访问和设置新的基础设施以支持此活动，”Talos研究人员Asheer Malhotra，Guilherme Venere和Vitor Ventura在周三的分析中说。

“在许多情况下，我们还观察到威胁行为者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染中收集的日志和信息。”

这种转变被视为从使用合法的云存储提供商到建立自己的服务器的更广泛转变的一部分。也就是说，该活动的目标目前尚不清楚。

这里需要注意的一个重要方面是，“MoonPeak的不断发展与威胁行为者建立的新基础设施齐头并进”，并且每个新版本的恶意软件都引入了更多的混淆技术来阻止分析和更改整体通信机制以防止未经授权的连接。

研究人员指出：“简单地说，威胁行为者确保MoonPeak的特定变体仅适用于C2服务器的特定变体。

“持续采用新恶意软件及其演变的时间表，例如MoonPeak的情况，凸显了UAT-5394继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的快速步伐表明，该组织的目标是迅速扩大这一活动，并设置更多的投放点和 C2 服务器。