Se ha observado que los actores de amenaza con lazos con Corea del Norte dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el lenguaje de programación NIM, subrayando una evolución constante de sus tácticas. «Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la versión con TLS cifrada del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticias de los hackers. «Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema». La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña. Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de mensajería como Telegram para programar una reunión de zoom a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Zoom junto con instrucciones para ejecutar un script de actualización de zoom SDK para garantizar que estén ejecutando la última versión del software de videoconferencia. Este paso da como resultado la ejecución de un AppleScript que actúa como un vehículo de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al usuario a un enlace de redirección de zoom legítimo. El script recién descargado posteriormente desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y lanzar información de robo de información. En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (también conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 lanza objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, después de lo cual se reanuda la ejecución del proceso suspendido. El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan recopilar información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo actual. Los resultados de la ejecución se devuelven al servidor. Trojan1_arm64, por su parte, es capaz de descargar dos cargas más útiles, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram. También se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de lanzamiento para CoreKitagent, que monitorea para los intentos del usuario de matar el proceso de malware y garantiza la persistencia. «Este comportamiento asegura que cualquier terminación iniciada por el usuario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas», dijeron los investigadores. El malware también inicia un AppleScript que saca cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la lista de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor. Los hallazgos demuestran cómo los actores de amenaza de Corea del Norte están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para actuar como una puerta trasera posterior a la explotación para cumplir con sus objetivos de recopilación de datos. «Los actores de amenaza alineados en Corea del Norte han experimentado previamente con GO y Rust, combinando de manera similar los guiones y compilado binarios en cadenas de ataque de varias etapas», dijeron los investigadores. «Sin embargo, la capacidad bastante única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento complejo en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función». El uso de Kimsuky de ClickFix continúa la divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, Genians, expuso el uso continuo de Kimusky de la Táctica de Ingeniería Social de ClickFix para ofrecer una variedad de herramientas de acceso remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al grupo de piratería norcoreana. Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad nacional en Corea del Sur, implican el uso de correos electrónicos de phishing de lanza disfrazados de solicitudes de entrevistas para un periódico comercial legítimo en alemán y engañarlos para que abran un enlace malicioso que contiene un archivo falso de raros. Presente dentro del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para abrir un archivo de documentos de Google señuelo en el navegador web del usuario, mientras que, en segundo plano, el código malicioso se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha. Los ataques posteriores observados en marzo de 2025 han hecho pasar por un alto funcionario de seguridad nacional de EE. UU. Para engañar a los objetivos para abrir un archivo adjunto PDF que incluía una lista de preguntas relacionadas con una reunión durante la supuesta visita del funcionario a Corea del Sur. «También intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para acceder a un documento seguro», dijo Genians. «Si bien la táctica original ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta variante modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para acceder a un documento seguro». Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos. Una vez que se ejecuta el comando malicioso de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código malicioso que establece una comunicación persistente con un servidor C2 para recopilar datos y entregar cargas útiles adicionales. Una segunda variante de la estrategia ClickFix implica el uso de un sitio web falso que imita un portal de trabajo de investigación de defensa legítimo y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para abrir el dialog de Windows y ejecutar un comando PowerShell. El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto de Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 «Kida.plusdocs.kro[.]KR. «Los genianos dijeron que descubrió una vulnerabilidad de un listado de directorio en el servidor C2 de que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur. El servidor C2 también incluyó una dirección IP de China, que se ha encontrado que contiene un registro de keylogging para una cadena de enlace de protección de protón que aloja un archivo zip que se usa para el babyky de Babyskark en el malware en el último malking de Windows por medio de una cadena de ataque múltiple de KIMS, como el último mes de enlace de KImy, se utiliza recientemente, el último mes, es el último mes, es el último mes de Kimsu, es el último mes de Kimsu. Para haber inventado otra variante de ClickFix en la que los actores de amenaza implementan las páginas de verificación de la Captcha Phony para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ej. appears to be another case of publicly available methods being adapted for malicious use.» In recent weeks, Kimsuky has also been linked to email phishing campaigns that seemingly originate from academic institutions, but distribute malware under the pretext of reviewing a research paper. «The email prompted the recipient to open a HWP document file with a malicious OLE object attachment,» AhnLab said. «The document was password-protected, and the recipient had to enter the password provided in the email body to view the document.» Opening the weaponized document activates the infection process, leading to the execution of a PowerShell script that performs extensive system reconnaissance and the deployment of the legitimate AnyDesk software for persistent remote access. The prolific threat actor that Kimsuky is, the group is in a constant state of flux regarding its tools, tactics, and techniques for malware delivery, with some of the cyber attacks also Aprovechar a Github como un stager para propagar un troyano de código abierto llamado Xeno Rat. Comience con los correos electrónicos de phishing de lanza con archivos adjuntos de archivo comprimidos que contienen un archivo de acceso directo de Windows (LNK), que, a su vez, se usa para soltar un script de PowerShell que luego descarga y inicia el documento Decoy, así como ejecuta Xeno Rat y un PowerShell Information Stoaler a Otry Attack Secureby a Otry AttleBbox a Otros secuencias de AttleBbox. Xeno Rat. de las operaciones de Kimsuky, incluido su uso de Github y Dropbox como parte de su infraestructura «. Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, junto con Konni, que representa el 5% de todos los 44 Grupos de Attre -Atting Atting Attain Attain Attain Attain Attain Atente. Kimsuky, Sidewinder y Konni.
