Utilizando malware escrito en el lenguaje de programación NIM, se ha observado que los actores de amenaza asociados con Corea del Norte están apuntando a las empresas Web3 y las criptomonedas, lo que resalta la evolución constante de las tácticas.
«En el caso de MacOS Malware, los actores de amenaza emplean tecnología de inyección de procesos y comunicación remota a través de WSS. La versión cifrada de TLS del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaee Sabato en un informe compartido con Hacker News.
«El nuevo mecanismo de persistencia utiliza el controlador de señal de firma/signo para instalar persistencia cuando el malware finaliza o cuando se reinicia el sistema».
Las compañías de ciberseguridad rastrean los componentes de malware todos juntos bajo el nombre de Nimdoor. Vale la pena señalar que Huntabil.it documentó que algunos aspectos de la campaña fueron documentados previamente.
La cadena de ataque incluye tácticas de ingeniería social que abordan los objetivos en plataformas de mensajería como el telegrama y las reuniones de zoom de programación a través de Calendly, el software de programación de reservas. El objetivo recibirá un correo electrónico con un enlace de reunión de Zoom para ejecutar el script de actualización de zoom SDK para garantizar que esté ejecutando la última versión del software de videoconferencia.
Este paso ejecuta AppleScript, que actúa como un vehículo de entrega para un script de segunda etapa desde un servidor remoto, redirigiendo aparentemente al usuario a un enlace de redirección de zoom legítimo. El script recién descargado resolverá el archivo ZIP que contiene los binarios responsables de establecer persistencia y lanzar información que robe el script bash.
En el corazón de la secuencia de infección hay un cargador C ++ llamado IndectwithDyLDarm64 (también conocido como inyectwithdyld). Esto descifra dos binarios incrustados, llamados Target y Trojan1_arm64. InyectWithDyDarm64 lanza el objetivo con un estado suspendido, inyecta el código binario de Trojan1_arm64 y luego reanuda la ejecución del proceso suspendido.
El malware obtendrá comandos que establecen comunicación con servidores remotos, recopilarán información del sistema, ejecutarán cualquier comando y le permitirá cambiar o configurar el directorio de trabajo actual. Los resultados de la ejecución se devuelven al servidor.
Trojan1_arm64 puede descargar dos cargas más útiles en esa parte. Está equipado con la capacidad de recopilar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, y extrae datos de aplicaciones de telegrama.
También se retiró como parte del ataque es una colección de ejecutables basados en NIM utilizados como lanzamiento de PADS para CoreKitagent, que los usuarios monitorean para matar procesos de malware y garantizar la persistencia.
«Este comportamiento hace que la terminación de malware iniciada por el usuario resulte en la implementación de componentes centrales, lo que hace que el código se resilice a acciones defensivas básicas», dijeron los investigadores.
El malware también emite balizas cada 30 segundos, lanzando balizas en uno de los dos códigos de código duro y servidores de comando y control (C2), al tiempo que ejecuta instantáneas de la lista de procesos de ejecución y scripts adicionales enviados por el servidor.
Los hallazgos muestran que los actores de amenaza de Corea del Norte están entrenando cada vez más su visión en el sistema MacOS. El registro de Apple arma el equipo para actuar como puerta trasera después de la explosión para lograr los objetivos de recopilación de datos.
«Los actores de amenaza desplegados en Corea del Norte han experimentado previamente con GO y Rust, y de manera similar combinaron guiones y binarios en una cadena de ataque de varias etapas», dijeron los investigadores.
«Sin embargo, la capacidad bastante única de NIM para realizar funciones durante los tiempos de compilación permite a los atacantes combinar un comportamiento complejo en binarios para usar flujos de control menos obvios. Como resultado, reúnen binarios donde el código de desarrollador y el código de tiempo de ejecución NIM se mezclan a nivel de función».
ClickFix de Kimsuky continúa
La divulgación es que la compañía coreana de ciberseguridad Genman ha utilizado continuamente las tácticas de ingeniería social de ClickFix para proporcionar una variedad de herramientas de acceso remoto como parte de una campaña llamada Babyshark, un clúster de actividad conocido atribuido al grupo de piratería de Corea del Norte.
Los ataques observados por primera vez en enero de 2025 y los expertos en seguridad nacional de Corea del Sur incluyen el uso de correos electrónicos de phishing de lanza a medida que las solicitudes de entrevistas para periódicos comerciales alemanes legítimos, engañándolos para que abran enlaces maliciosos que contienen archivos falsos de rar.
Residen en el archivo Los archivos de Visual Basic Scripts (VBS) diseñados para abrir archivos de Docs de Google Decoy en el navegador web del usuario. Mientras tanto, en el fondo, el código malicioso se ejecuta para establecer la persistencia del host a través de tareas programadas y la información del sistema de recolección.
Los ataques posteriores observados en marzo de 2025 hicieron que el grupo se hiciera pasar por los oficiales de seguridad nacional de los Estados Unidos, engañó a los objetivos para engañarlos y abrió un archivo adjunto en PDF que contenía una lista de preguntas relacionadas con las reuniones oficiales durante su visita a Corea del Sur.
«También intentaron engañar al objetivo para que abriera el manual e ingrese el código de autenticación». La táctica original ‘ClickFix’ permitió a los usuarios hacer clic y hacer clic para corregir un error específico, pero esta variante corrigió su enfoque alentando a los usuarios a copiar y pegar el código de autenticación para acceder a la documentación segura. «
Professpoint documentó una táctica similar en abril de 2025. La diferencia es que afirmó que el mensaje de correo electrónico provenía de diplomáticos japoneses, instando a los destinatarios a organizar una reunión estadounidense con el embajador japonés.
Cuando se ejecuta un comando malicioso de PowerShell, el archivo Decoy Google Docs se usa como una distracción para ocultar la ejecución de código malicioso que establece una comunicación persistente con el servidor C2, recopila datos y proporciona cargas útiles adicionales.
La segunda variante de la estrategia ClickFix proporciona un mensaje emergente de estilo ClickFix a los visitantes del sitio que hacen clic en estas publicaciones, utilizando sitios web falsos que imitan el portal de trabajo de investigación de defensa legítimo y crean listas falsas, implica abrir un diálogo de Windows Run y ejecutar un comando PowerShell.
Este comando guía a los usuarios a descargar e instalar el software de escritorio remoto de Chrome en su sistema, lo que les permite a SSH remoto a través del servidor C2 «KIDA.plusdocs.kro (.) Kr». Los genianos dijeron que descubrieron un directorio que enumera las vulnerabilidades en los servidores C2 que publican datos probablemente recopilados de víctimas en Corea del Sur.
El servidor C2 también incluyó una dirección IP de China. Encontramos que esto contiene registros de keylog para enlaces de protonería que alojan los archivos ZIP utilizados para dejar caer malware Babyshark en hosts de Windows infectados por la cadena de ataque de varias etapas.
Al igual que el mes pasado, se cree que Kimsky creó un ClickFix en el que el actor de amenaza desarrolló la página de verificación de captura de Fony Nurbor, copió y pegó los comandos de PowerShell, luego copió y pegó en un diálogo de Windows Run que absorbe información del usuario y lanza el script del automóvil.
«La campaña ‘Babyshark’ es conocida por su rápida adopción de nuevas tecnologías de ataque, y a menudo se integra con los mecanismos basados en script», dijo la compañía. «Las tácticas ‘ClickFix’ discutidas en este informe parecen ser otro caso de métodos disponibles públicamente que son compatibles con el uso malicioso».
En las últimas semanas, Kimsky también se ha vinculado a una campaña de phishing de correo electrónico que parece derivarse de una institución académica, pero distribuye malware con el pretexto de revisar los trabajos de investigación.
«El correo electrónico solicitó al destinatario a abrir un archivo de documento HWP con archivos adjuntos de objetos OLE maliciosos», dice AhnLab. «El documento estaba protegido con contraseña y los destinatarios tuvieron que ingresar la contraseña proporcionada al cuerpo de correo electrónico para ver el documento».
La apertura de documentos armados activa el proceso de infección, lo que lleva a la ejecución de scripts de PowerShell que realizan un amplio reconocimiento del sistema y la implementación del software legal Anydesk para un acceso remoto persistente.
Los prolíficos actores de amenaza de Kimsuky se encuentran en un estado de flujo constante cuando se trata de herramientas, tácticas y técnicas de entrega de malware, y algunos de los ataques cibernéticos también aprovechan a Github como un stager para criar troyanos de código abierto llamados rata xeno.
«El malware utiliza tokens de acceso personal GitHub (PAT) codificados con codificación dura para acceder al repositorio privado del atacante», dice Enki Whitehat. «Este token se usó para descargar malware de un repositorio privado y cargar información recopilada del sistema de víctimas».
Según un proveedor de ciberseguridad coreano, el ataque comienza con un correo electrónico de phishing de lanza que contiene archivos adjuntos de archivo comprimidos que contienen archivos de Windows Actuals (LNK). Esto se utiliza para lanzar scripts de PowerShell que descargan y lanzan documentos señuelo, y podrían ejecutar Xeno Rat y PowerShell Infortarshell Stealer.
Se sabe que otras secuencias de ataque aprovechan un descargador basado en PowerShell que recupera archivos con extensiones RTF de Dropbox, y finalmente lanza Xeno Rat. La campaña se superpone con otro conjunto de ataques, que ofrece una variante de Xeno Rat, cuya infraestructura se conoce como Moon Peak.
«El atacante cargó y mantuvo extractos de archivos de registro del sistema infectados y repositorio privado utilizando Tokens de acceso personal GitHub (PAT), así como el malware utilizado en el ataque», dijo Enki. «Esta actividad continua destaca la naturaleza sostenible y en evolución de las operaciones de Kimsuky, incluido el uso de GitHub y Dropbox como parte de la infraestructura».
Con cada datos de NSFOCUS, Kimsuky, junto con Konni, es uno de los grupos de amenaza más activos de Corea, que representa el 5% de las 44 actividades avanzadas de amenaza permanente (APT) registradas por compañías de seguridad cibernética china en mayo de 2025.
Source link
