Se ha observado que los actores de amenaza con lazos con Corea del Finalidad dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el lengua de programación NIM, subrayando una progreso constante de sus tácticas.
“Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la traducción con TLS cifrada del Protocolo WebSocket”, dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticiario de los hackers.
“Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema”.
La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña.
Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de transporte como Telegram para programar una reunión de teleobjetivo a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Teleobjetivo yuxtapuesto con instrucciones para ejecutar un script de modernización de teleobjetivo SDK para avalar que estén ejecutando la última traducción del software de videoconferencia.
Este paso da como resultado la ejecución de un AppleScript que actúa como un transporte de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al beneficiario a un enlace de redirección de teleobjetivo legal. El script recién descargado seguidamente desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y propalar información de robo de información.
En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (incluso conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 aguijada objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, a posteriori de lo cual se reanuda la ejecución del proceso suspendido.
El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan resumir información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo presente. Los resultados de la ejecución se devuelven al servidor.
Trojan1_arm64, por su parte, es capaz de descargar dos cargas más enseres, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram.
Además se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de propagación para CoreKitagent, que monitorea para los intentos del beneficiario de matar el proceso de malware y garantiza la persistencia.
“Este comportamiento asegura que cualquier terminación iniciada por el beneficiario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas”, dijeron los investigadores.
El malware incluso inicia un AppleScript que costal cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la índice de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor.
Los hallazgos demuestran cómo los actores de amenaza de Corea del Finalidad están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para interpretar como una puerta trasera posterior a la explotación para cumplir con sus objetivos de compendio de datos.
“Los actores de amenaza alineados en Corea del Finalidad han experimentado previamente con GO y Rust, combinando de forma similar los guiones y compilado binarios en cadenas de ataque de varias etapas”, dijeron los investigadores.
“Sin confiscación, la capacidad harto única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento enredado en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función”.
El uso de Kimsuky de ClickFix continúa
La divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, los genianos, expusieron el uso continuo de Kimusky de la táctica de ingeniería social de ClickFix para ofrecer una variedad de herramientas de golpe remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al Especie de Hacking Corea del Finalidad.
Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad franquista en Corea del Sur, implican el uso de correos electrónicos de phishing de aguijada disfrazados de solicitudes de entrevistas para un circular comercial legal en germánico y engañarlos para que abran un enlace ladino que contiene un archivo mentiroso de raros.
Presente adentro del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para rajar un archivo de documentos de Google señuelo en el navegador web del beneficiario, mientras que, en segundo plano, el código ladino se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha.
Los ataques posteriores observados en marzo de 2025 han hecho producirse por un parada funcionario de seguridad franquista de EE. UU. Para engañar a los objetivos para rajar un archivo adjunto PDF que incluía una índice de preguntas relacionadas con una reunión durante la supuesta recepción del funcionario a Corea del Sur.
“Además intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para entrar a un documento seguro”, dijo Genians. “Si aceptablemente la táctica innovador ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta variación modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para entrar a un documento seguro”.
Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos.
Una vez que se ejecuta el comando ladino de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código ladino que establece una comunicación persistente con un servidor C2 para resumir datos y entregar cargas enseres adicionales.
Una segunda variación de la organización ClickFix implica el uso de un sitio web mentiroso que imita un portal de trabajo de investigación de defensa legal y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para rajar el dialog de Windows y ejecutar un comando PowerShell.
El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 “KIDA.PLUSDOCS.KRO (.) KR”. Los genianos dijeron que descubrió un directorio que enumera la vulnerabilidad en el servidor C2 que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur.
El servidor C2 incluso incluyó una dirección IP de China, que se ha antagónico que contiene un registro de keylogging para un enlace de pelotón de protones que aloja un archivo zip que se usa para soltar malware Babyshark en el host de Windows infectado por medio de una sujeción de ataque de varias etapas.
Tan recientemente como el mes pasado, se cree que Kimsuky ha inventado otra variación de ClickFix en la que los actores de amenaza implementan páginas de comprobación Phony Naver Captcha para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ejecutar que inicia un script de autos a la información de los usuarios.
“La campaña ‘Babyshark’ es conocida por su rápida acogida de nuevas técnicas de ataque, a menudo integrándolas con mecanismos basados en script”, dijo la compañía. “La táctica ‘ClickFix’ discutida en este documentación parece ser otro caso de métodos disponibles públicamente que se adaptan para uso ladino”.
En las últimas semanas, Kimsuky incluso se ha vinculado a campañas de phishing por correo electrónico que aparentemente se originan en instituciones académicas, pero distribuyen malware con el pretexto de revisar un trabajo de investigación.
“El correo electrónico solicitó al destinatario a rajar un archivo de documento HWP con un archivo adjunto de objetos OLE ladino”, dijo Ahnlab. “El documento se protegía con contraseña, y el destinatario tuvo que ingresar la contraseña proporcionada en el cuerpo de correo electrónico para ver el documento”.
La comprensión del documento armado activa el proceso de infección, lo que lleva a la ejecución de un script PowerShell que realiza un amplio gratitud del sistema y la implementación del software legal Anydesk para un golpe remoto persistente.
El prolífico actor de amenaza que Kimsuky es que el orden se encuentra en un estado constante de flujo con respecto a sus herramientas, tácticas y técnicas para la entrega de malware, con algunos de los ataques cibernéticos que incluso aprovechan a Github como un stager para propagar un troyano de fuga abierta llamamiento rata Xeno.
“El malware accede a los repositorios privados del atacante utilizando un token de golpe personal GitHub (PAT) codificado”, dijo Enki Whitehat. “Este token se utilizó para descargar malware de un repositorio privado y cargar información recopilada de los sistemas de víctimas”.
Según el proveedor de ciberseguridad de Corea del Sur, los ataques comienzan con correos electrónicos de phishing de aguijada con archivos adjuntos de archivo comprimidos que contienen un archivo de golpe directo (LNK) de Windows, que, a su vez, probablemente se usa para eliminar un script de PowerShell que luego descarga y aguijada el documento Decoy, así como ejecuta Xeno Rat y un Powershell Information Staaler.
Se ha antagónico que otras secuencias de ataque utilizan un descargador basado en PowerShell que obtiene un archivo con una extensión RTF de Dropbox para propalar Xeno Rat. La campaña comparte la infraestructura se superpone con otro conjunto de ataques que entregaron una variación de rata xeno conocida como MoonPeak.
“El atacante manejó no solo el malware utilizado en los ataques, sino incluso cargó y mantuvo archivos de registro del sistema infectados e información exfiltrada en repositorios privados utilizando Tokens de golpe personal GitHub (PATS)”, señaló Enki. “Esta actividad continua destaca la naturaleza persistente y en progreso de las operaciones de Kimsuky, incluido el uso de GitHub y Dropbox como parte de su infraestructura”.
Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, yuxtapuesto con Konni, que representa el 5% de todas las 44 actividades de amenaza persistente descubierta (APT) registradas por la compañía de ciberseguridad china en mayo de 2025. En comparación, los tres grupos ATP más activos en abril fueron Kimsuky, Sidewinder y Konni.
