troll-stealer - RunkIntel

# Troll Stealer > [!high] Infostealer Golang do Kimsuky - Roubo de Certificados GPKI Coreanos > O Troll Stealer é um infostealer escrito em Go, atribuído ao grupo norte-coreano Kimsuky (APT43), descoberto em 2024 e especializado no roubo de certificados GPKI (sistema de certificação digital do governo sul-coreano), dados de navegadores e informações de sistema para espionagem de entidades governamentais da Coreia do Sul. ## Descrição O [[troll-stealer|Troll Stealer]] é um malware do tipo infostealer desenvolvido em **linguagem Go (Golang)**, identificado por pesquisadores em fins de 2023 e início de 2024, e atribuído ao grupo de espionagem norte-coreano [[g0094-kimsuky|Kimsuky]] (também rastreado como APT43, Thallium ou Velvet Chollima). A atribuição baseia-se em similaridades de código com ferramentas anteriores do Kimsuky, incluindo o AppleSeed (comandos de informação de sistema) e o AlphaSeed (esquema de criptografia RC4 + RSA), além de padrões compartilhados de tooling baseado em Go. O alvo primário e mais distintivo do Troll Stealer é o **GPKI** - sistema de infraestrutura de chave pública do governo sul-coreano, utilizado por servidores e funcionários públicos para autenticação em sistemas oficiais. O roubo desses certificados digitais pode permitir ao Kimsuky se passar por entidades governamentais legítimas ou acessar sistemas que requerem autenticação GPKI, ampliando significativamente as capacidades de espionagem além do comprometimento inicial. Além dos certificados GPKI, o malware exfiltra dados abrangentes: histórico, cookies e downloads de navegadores Chromium e Firefox (via HackBrowserData), sessões do FileZilla, credenciais SSH, conteúdo do Microsoft Sticky Notes, arquivos e diretórios da unidade C:, capturas de tela e informações completas de hardware e rede. A métodologia de exfiltração usa **criptografia RC4 + RSA-4096** antes do envio ao servidor C2, garantindo confidencialidade dos dados coletados mesmo em redes monitoradas. Algumas variantes do Troll Stealer foram detectadas como DLLs protegidas com **VMProtect3** para dificultar análise. O vetor de acesso inicial é sofisticado: o malware é entregue por meio de **droppers que se passam por instaladores legítimos** de software de segurança como TrustPKI ou SGA Solutions, distribuídos via sites comprometidos de associações de construção sul-coreanas que exigem instalação de "programa de segurança" para login. O dropper executa o instalador legítimo paralelamente ao malware e se autodeleta via arquivo batch, aumentando a dificuldade de detecção. Os binários do Troll Stealer foram identificados assinados com certificados roubados de empresas legítimas sul-coreanas como **D2Innovation Co., Ltd.** e **SGA Solutions Co., Ltd.**, técnica que contorna verificações de assinatura de código em soluções de segurança baseadas em allowlist de certificados. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Droppers via sites comprometidos como instaladores falsos | | Defense Evasion | [[t1553-002-code-signing\|T1553.002]] | Assinatura com certificados roubados (D2Innovation, SGA) | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | HackBrowserData para cookies, histórico e credenciais | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de info de hardware, rede e software instalado | | Collection | [[t1005-data-from-local-system\|T1005]] | Arquivos, SSH, GPKI, Sticky Notes, screenshots | | Collection | [[t1560-001-archive-collected-data\|T1560.001]] | Compressão e criptografia RC4+RSA antes da exfiltração | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Envio de dados criptografados para servidor C2 | ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] (APT43 / Thallium / Velvet Chollima) - grupo de espionagem norte-coreano, operador confirmado - Foco histórico em Coreia do Sul, Japão e EUA; expansão documentada para alvos de defesa e think tanks globais ## Detecção - Detectar binários Go assinados por certificados de empresas sul-coreanas desconhecidas (`D2Innovation Co., LTD`, `SGA Solutions CO., Ltd.`) em contexto de instalação de software de segurança - Monitorar uso da ferramenta de código aberto **HackBrowserData** em sistemas corporativos - raramente usada legitimamente, é indicativo forte de atividade de infostealer - Detectar acesso a diretórios de perfil de múltiplos navegadores por processos com nomes atípicos (ex: NXTPKIENTS.exe) que não correspondem ao navegador instalado - Implementar alertas para exfiltração de dados com padrão de criptografia RC4 seguida de RSA para servidores externos não catalogados ```sigma title: Troll Stealer - Suspicious Browser Data Access status: experimental logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\AppData\Local\Google\Chrome\User Data' - '\AppData\Roaming\Mozilla\Firefox\Profiles' Image|endswith: - '\NXTPKIENTS.exe' condition: selection level: critical tags: - attack.credential_access - attack.t1555.003 ``` ## Relevância LATAM/Brasil O Troll Stealer foi identificado exclusivamente em operações direcionadas a entidades sul-coreanas, sem evidência de campanhas na América Latina ou no Brasil até março de 2026. No entanto, o [[g0094-kimsuky|Kimsuky]] tem histórico de expandir operações de espionagem além da Coreia do Sul, com alvos documentados em think tanks e organizações de política internacional em múltiplos continentes. Para o Brasil, a técnica de **roubo de certificados digitais governamentais** é particularmente relevante no contexto do ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), que é amplamente utilizada por órgãos federais e empresas para autenticação e assinatura digital. Uma campanha de espionagem adaptada ao contexto brasileiro poderia mirar certificados ICP-Brasil com objetivos similares aos observados com os certificados GPKI coreanos. Organizações brasileiras de [[defense|defesa]], [[government|governo]] e [[energy|energia]] com conexões internacionais devem incluir o perfil do Kimsuky em suas avaliações de ameaça. **Setores alvejados (original):** [[government|governo]] - setor público sul-coreano - defesa e think tanks ## Referências - [1](https://thehackernews.com/2024/02/kimsukys-new-golang-stealer-troll-and.html) The Hacker News - Kimsuky's New Golang Stealer 'Troll' and 'GoBear' (2024) - [2](https://socprime.com/blog/troll-stealer-detection-novel-malware-actively-leveraged-by-north-korean-kimsuky-apt/) SOC Prime - Troll Stealer Detection: Novel Malware by Kimsuky APT (2024) - [3](https://darkatlas.io/blog/kimsuky-apt-the-trollagent-stealer-analysis) Dark Atlas - Kimsuky APT: The TrollAgent Stealer Analysis (2024) - [4](https://attack.mitre.org/groups/G0094/) MITRE ATT&CK - Kimsuky Group Profile (G0094)