Gomir : analyse d’une porte dérobée sophistiquée par le CERT Advens

8 juillet 2024 1 min de lecture

Dans son bulletin de renseignement sur la menace, le CERT Advens analyse une porte dérobée découverte en mai 2024 : Gomir, un logiciel malveillant émanant du groupe de cyber-attaquants nord-coréens Kimsuky.

Ce qu’il faut retenir

Gomir est une porte dérobée conçue pour être utilisée sur le système d’exploitation Linux et présente des similitudes avec Gobear, une autre porte dérobée de l’arsenal Kimsuky, destinée quant à elle aux environnements Microsoft.

Évolution du mode opératoire

La cyberattaque étudiée visait des organisations dans la construction ou les transports localisées en Corée du Sud : des sites internet légitimes traitant de ces secteurs ont été compromis pour distribuer des chevaux de Troie afin de déployer le maliciel. Une évolution significative du mode opératoire du groupe Kimsuky qui avait plutôt tendance à utiliser des courriels d’hameçonnage.

Évolution des motivations

L’autre enseignement de cette analyse porte sur les motivations de Kimsuky. Ce groupe, connu pour ses activités de cyberespionnage semble aujourd’hui s’ouvrir au cybersabotage.

« Nous décrivons dans le bulletin l’utilisation potentielle de l’implant Gomir lors d’une cyberattaque d’octobre 2023, se soldant par la mise hors d’usage de 600 000 routeurs »

Fabian Cosset, Responsable CTI Advens




Retrouvez notre analyse complète ainsi que les indicateurs de compromission à surveiller et deux autres articles dans notre bulletin en libre accès ci-dessous (version anglaise plus bas).