Se ha observado que los actores de amenaza con lazos con Corea del Ideal dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el habla de programación NIM, subrayando una proceso constante de sus tácticas.
«Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la traducción con TLS cifrada del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticiero de los hackers.
«Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema».
La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña.
Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de correo como Telegram para programar una reunión de teleobjetivo a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Teleobjetivo contiguo con instrucciones para ejecutar un script de modernización de teleobjetivo SDK para avalar que estén ejecutando la última traducción del software de videoconferencia.
Este paso da como resultado la ejecución de un AppleScript que actúa como un transporte de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al adjudicatario a un enlace de redirección de teleobjetivo permitido. El script recién descargado después desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y difundir información de robo de información.
En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (todavía conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 venablo objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, luego de lo cual se reanuda la ejecución del proceso suspendido.
El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan compendiar información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo flagrante. Los resultados de la ejecución se devuelven al servidor.
Trojan1_arm64, por su parte, es capaz de descargar dos cargas más efectos, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram.
Incluso se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de divulgación para CoreKitagent, que monitorea para los intentos del adjudicatario de matar el proceso de malware y garantiza la persistencia.
«Este comportamiento asegura que cualquier terminación iniciada por el adjudicatario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas», dijeron los investigadores.
El malware todavía inicia un AppleScript que saco cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la repertorio de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor.
Los hallazgos demuestran cómo los actores de amenaza de Corea del Ideal están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para hacer como una puerta trasera posterior a la explotación para cumplir con sus objetivos de sumario de datos.
«Los actores de amenaza alineados en Corea del Ideal han experimentado previamente con GO y Rust, combinando de forma similar los guiones y compilado binarios en cadenas de ataque de varias etapas», dijeron los investigadores.
«Sin confiscación, la capacidad suficiente única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento arduo en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función».
El uso de Kimsuky de ClickFix continúa
La divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, los genianos, expusieron el uso continuo de Kimusky de la táctica de ingeniería social de ClickFix para ofrecer una variedad de herramientas de entrada remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al Clase de Hacking Corea del Ideal.
Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad franquista en Corea del Sur, implican el uso de correos electrónicos de phishing de venablo disfrazados de solicitudes de entrevistas para un semanario comercial permitido en germánico y engañarlos para que abran un enlace solapado que contiene un archivo infiel de raros.
Presente en el interior del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para rasgar un archivo de documentos de Google señuelo en el navegador web del adjudicatario, mientras que, en segundo plano, el código solapado se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha.
Los ataques posteriores observados en marzo de 2025 han hecho ocurrir por un suspensión funcionario de seguridad franquista de EE. UU. Para engañar a los objetivos para rasgar un archivo adjunto PDF que incluía una repertorio de preguntas relacionadas con una reunión durante la supuesta entrevista del funcionario a Corea del Sur.
«Incluso intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para lograr a un documento seguro», dijo Genians. «Si adecuadamente la táctica llamativo ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta transformación modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para lograr a un documento seguro».
Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos.
Una vez que se ejecuta el comando solapado de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código solapado que establece una comunicación persistente con un servidor C2 para compendiar datos y entregar cargas efectos adicionales.
Una segunda transformación de la logística ClickFix implica el uso de un sitio web infiel que imita un portal de trabajo de investigación de defensa permitido y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para rasgar el dialog de Windows y ejecutar un comando PowerShell.
El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 «KIDA.PLUSDOCS.KRO (.) KR». Los genianos dijeron que descubrió un directorio que enumera la vulnerabilidad en el servidor C2 que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur.
El servidor C2 todavía incluyó una dirección IP de China, que se ha antitético que contiene un registro de keylogging para un enlace de pelotón de protones que aloja un archivo zip que se usa para soltar malware Babyshark en el host de Windows infectado por medio de una cautiverio de ataque de varias etapas.
Tan recientemente como el mes pasado, se cree que Kimsuky ha inventado otra transformación de ClickFix en la que los actores de amenaza implementan páginas de demostración Phony Naver Captcha para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ejecutar que inicia un script de autos a la información de los usuarios.
«La campaña ‘Babyshark’ es conocida por su rápida admisión de nuevas técnicas de ataque, a menudo integrándolas con mecanismos basados en script», dijo la compañía. «La táctica ‘ClickFix’ discutida en este noticia parece ser otro caso de métodos disponibles públicamente que se adaptan para uso solapado».
En las últimas semanas, Kimsuky todavía se ha vinculado a campañas de phishing por correo electrónico que aparentemente se originan en instituciones académicas, pero distribuyen malware con el pretexto de revisar un trabajo de investigación.
«El correo electrónico solicitó al destinatario a rasgar un archivo de documento HWP con un archivo adjunto de objetos OLE solapado», dijo Ahnlab. «El documento se protegía con contraseña, y el destinatario tuvo que ingresar la contraseña proporcionada en el cuerpo de correo electrónico para ver el documento».
La tolerancia del documento armado activa el proceso de infección, lo que lleva a la ejecución de un script PowerShell que realiza un amplio gratitud del sistema y la implementación del software permitido Anydesk para un entrada remoto persistente.
El prolífico actor de amenaza que Kimsuky es que el rama se encuentra en un estado constante de flujo con respecto a sus herramientas, tácticas y técnicas para la entrega de malware, con algunos de los ataques cibernéticos que todavía aprovechan a Github como un stager para propagar un troyano de fuga abierta convocatoria rata Xeno.
«El malware accede a los repositorios privados del atacante utilizando un token de entrada personal GitHub (PAT) codificado», dijo Enki Whitehat. «Este token se utilizó para descargar malware de un repositorio privado y cargar información recopilada de los sistemas de víctimas».
Según el proveedor de ciberseguridad de Corea del Sur, los ataques comienzan con correos electrónicos de phishing de venablo con archivos adjuntos de archivo comprimidos que contienen un archivo de entrada directo (LNK) de Windows, que, a su vez, probablemente se usa para eliminar un script de PowerShell que luego descarga y venablo el documento Decoy, así como ejecuta Xeno Rat y un Powershell Information Staaler.
Se ha antitético que otras secuencias de ataque utilizan un descargador basado en PowerShell que obtiene un archivo con una extensión RTF de Dropbox para difundir Xeno Rat. La campaña comparte la infraestructura se superpone con otro conjunto de ataques que entregaron una transformación de rata xeno conocida como MoonPeak.
«El atacante manejó no solo el malware utilizado en los ataques, sino todavía cargó y mantuvo archivos de registro del sistema infectados e información exfiltrada en repositorios privados utilizando Tokens de entrada personal GitHub (PATS)», señaló Enki. «Esta actividad continua destaca la naturaleza persistente y en proceso de las operaciones de Kimsuky, incluido el uso de GitHub y Dropbox como parte de su infraestructura».
Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, contiguo con Konni, que representa el 5% de todas las 44 actividades de amenaza persistente descubierta (APT) registradas por la compañía de ciberseguridad china en mayo de 2025. En comparación, los tres grupos ATP más activos en abril fueron Kimsuky, Sidewinder y Konni.
