近期南韓研究人員發現來自Kimsuky之新活動，Kimsuky是北韓國家支援之駭客組織，被稱為TA406，自2017年來一直積極地參與網路間諜活動，該組織從事散佈惡意軟體、釣魚攻擊、蒐集敏感資料甚至盜取加密貨幣。

ASEC(AhnLab Security Emergency Response Center)於1月24日發現Kimsuky使用xRAT對南韓進行針對性攻擊，目前仍持續中。

xRAT為開源遠端存取與管理工具，可於GitHub上免費取得，該惡意軟體提供一系列功能，如鍵盤記錄、遠端shell、檔案總管操作、反向HTTPS代理、AES-128加密通訊及自動化社交工程攻擊等。經驗豐富之駭客可能會選擇使用商品化RAT，無需太多配置，可完成基本之偵蒐，使得駭客能將其資源集中於開發更專業功能之後期惡意軟體上。此外，商品化RAT具有來自世界各地駭客之活動，使分析師更難將惡意活動歸咎於特定群體。

Gold Dragon為Kimsuky部署之第二階段後門，通常使用於無檔案且利用PowerShell執行圖像隱碼術(Steganography)之第一階段攻擊之後。Cybereason 2020年報告與Cisco Talos研究人員2021年之分析中曾記錄此惡意軟體，於最新活動中發現其變種具新功能，如洩露系統資訊等，惡意軟體不再查看系統程序，而是安裝xRAT工具以手動竊取所需資訊。

ASEC建議使用者不要開啟未知來源之電子郵件附件，其為Kimsuky散佈惡意軟體之主要管道。
 

https://www.bleepingcomputer.com/news/security/kimsuki-hackers-use-commodity-rats-with-custom-gold-dragon-malware/
https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon
https://attack.mitre.org/software/S0249/