Atores de ameaças com vínculos com a Coreia do Norte têm sido observados direcionando seus ataques a negócios relacionados a Web3 e criptomoedas com malware escrito na linguagem de programação Nim, sublinhando uma constante evolução de suas táticas.
"De forma incomum para malware macOS, os atores de ameaça empregam uma técnica de injeção de processo e comunicações remotas via wss, a versão criptografada via TLS do protocolo WebSocket," disseram os pesquisadores da SentinelOne, Phil Stokes e Raffaele Sabato, em um relatório compartilhado com a imprensa.
Um mecanismo de persistência inovador tira vantagem dos manipuladores de sinal SIGINT/SIGTERM para instalar persistência quando o malware é terminado ou o sistema reiniciado.
A empresa de cibersegurança está rastreando os componentes do malware coletivamente sob o nome NimDoor.
Vale notar que alguns aspectos da campanha foram previamente documentados pela Huntabil.IT e, posteriormente, pela Huntress e Validin, mas com diferenças nos payloads implantados.
As cadeias de ataque envolvem táticas de engenharia social, abordando alvos em plataformas de mensagens como Telegram para agendar uma reunião via Zoom pelo Calendly, um software de agendamento de compromissos.
O alvo então recebe um e-mail contendo um suposto link de reunião Zoom junto com instruções para executar um script de atualização do Zoom SDK para garantir que estão rodando a última versão do software de videoconferência.
Este passo resulta na execução de um AppleScript que atua como veículo de entrega para um script de segundo estágio de um servidor remoto, enquanto ostensivamente redireciona o usuário para um link de redirecionamento Zoom legítimo.
O script recém-baixado subsequentemente desempacota arquivos ZIP contendo binários responsáveis por configurar a persistência e lançar scripts bash de furto de informações.
No coração da sequência de infecção está um carregador C++ chamado InjectWithDyldArm64 (também conhecido como InjectWithDyld), que descriptografa dois binários embutidos denominados Target e trojan1_arm64.
InjectWithDyldArm64 lança Target em um estado suspenso e injeta nele o código binário do trojan1_arm64, após o que a execução do processo suspenso é retomada.
O malware prossegue estabelecendo comunicação com um servidor remoto e busca comandos que permitem coletar informações do sistema, executar comandos arbitrários e alterar ou definir o diretório de trabalho atual.
Os resultados da execução são enviados de volta ao servidor.
Trojan1_arm64, por sua parte, é capaz de baixar mais dois payloads, equipados com capacidades para extrair credenciais de navegadores web como Arc, Brave, Google Chrome, Microsoft Edge e Mozilla Firefox, bem como extrair dados do aplicativo Telegram.
Também são lançados como parte dos ataques uma coleção de executáveis baseados em Nim que são usados como plataforma de lançamento para CoreKitAgent, que monitora tentativas do usuário de matar o processo do malware e garante persistência instalando manipuladores personalizados para SIGINT e SIGTERM.
"Esse comportamento garante que qualquer término do malware iniciado pelo usuário resulte no deployment dos componentes principais, tornando o código resiliente a ações defensivas básicas," disseram os pesquisadores.
O malware também lança um AppleScript que sinaliza a cada 30 segundos para um de dois servidores de comando e controle (C2) codificados, enquanto também exfiltra um snapshot da lista de processos em execução e executa scripts adicionais enviados pelo servidor.
Os achados demonstram como atores de ameaças norte-coreanos estão cada vez mais mirando sistemas macOS, armando AppleScript para agir como uma backdoor pós-exploitação para atingir seus objetivos de coleta de dados.
"Atores de ameaças alinhados com a Coreia do Norte anteriormente experimentaram com Go e Rust, combinando igualmente scripts e binários compilados em cadeias de ataque multi-estágio," disseram os pesquisadores.
"No entanto, a habilidade bastante única do Nim de executar funções durante o tempo de compilação permite aos atacantes misturar comportamento complexo em um binário com um fluxo de controle menos óbvio, resultando em binários compilados onde o código do desenvolvedor e o código de runtime Nim são intercalados até no nível de função."
A divulgação vem enquanto a empresa de cibersegurança sul-coreana Genians expôs a continuação do uso da tática de engenharia social ClickFix pelo Kimsuky para entregar uma variedade de ferramentas de acesso remoto como parte de uma campanha denominada BabyShark, um conhecido cluster de atividade atribuída ao grupo de hackers norte-coreano.
Os ataques, observados pela primeira vez em janeiro de 2025 e direcionados a especialistas em segurança nacional na Coreia do Sul, envolvem o uso de e-mails de spear-phishing disfarçados como solicitações de entrevista para um legítimo jornal de negócios em língua alemã e os enganam para abrir um link malicioso contendo um arquivo RAR falso.
Dentro do arquivo está um arquivo Visual Basic Script (VBS) projetado para abrir um arquivo de isca Google Docs no navegador web do usuário, enquanto, em segundo plano, código malicioso é executado para estabelecer persistência no host por meio de tarefas agendadas e colher informações do sistema.
Ataques subsequentes observados em março de 2025 personificaram um alto oficial de segurança nacional dos EUA para enganar alvos a abrir um anexo PDF que incluía uma lista de perguntas relacionadas a uma reunião durante a suposta visita do oficial à Coreia do Sul.
"Eles também tentaram enganar o alvo para abrir um manual e inserir um código de autenticação, supostamente necessário para acessar um documento seguro," disse a Genians.
Enquanto a tática original 'ClickFix' enganava usuários a clicarem para corrigir um erro específico, esta variante modificou a abordagem ao solicitar aos usuários que copiassem e colassem um código de autenticação para acessar um documento seguro.
Uma tática similar foi documentada pela Proofpoint em abril de 2025, sendo a diferença que a mensagem de e-mail alegava originar-se de um diplomata japonês e instava o destinatário a configurar uma reunião com o embaixador japonês nos Estados Unidos.
Uma vez que o comando malicioso de PowerShell ofuscado é executado, um arquivo de isca Google Docs é utilizado como distração para ocultar a execução de código malicioso que estabelece comunicação persistente com um servidor C2 para coletar dados e entregar payloads adicionais.
Uma segunda variante da estratégia de ClickFix envolve o uso de um site falso que mimetiza um legítimo portal de empregos de pesquisa de defesa e o povoa com listagens falsas, fazendo com que visitantes do site que cliquem nessas postagens recebam uma mensagem pop-up ao estilo ClickFix para abrir a caixa de diálogo Executar do Windows e executar um comando PowerShell.
O comando, por sua parte, guia os usuários a baixar e instalar o software Chrome Remote Desktop em seus sistemas, permitindo controle remoto via SSH pelo servidor C2 "kida.plusdocs.kro[.]kr." A Genians disse que descobriu uma vulnerabilidade de listagem de diretório no servidor C2 que expôs publicamente dados provavelmente coletados de vítimas localizadas pela Coreia do Sul.
O servidor C2 também incluiu um endereço IP da China, que foi encontrado contendo um registro de keylogging para um link Proton Drive hospedando um arquivo ZIP usado para soltar malware BabyShark no host Windows infectado por meio de uma cadeia de ataque multi-estágio.
Tão recentemente quanto no mês passado, acredita-se que o Kimsuky elaborou mais uma variante do ClickFix na qual os atores de ameaça implementam páginas de verificação CAPTCHA falsas do Naver para copiar e colar comandos PowerShell na caixa de diálogo Executar do Windows que lança um script AutoIt para colher informações do usuário.
"A campanha 'BabyShark' é conhecida por sua rápida adoção de novas técnicas de ataque, frequentemente integrando-as com mecanismos baseados em scripts," disse a empresa.
A tática 'ClickFix' discutida neste relatório parece ser outro caso de métodos publicamente disponíveis sendo adaptados para uso malicioso.
Nas últimas semanas, o Kimsuky também foi vinculado a campanhas de phishing por e-mail que aparentemente se originam de instituições acadêmicas, mas distribuem malware sob o pretexto de revisar um artigo de pesquisa.
"O e-mail solicitava que o destinatário abrisse um arquivo de documento HWP com um anexo de objeto OLE malicioso," disse a AhnLab.
"O documento era protegido por senha, e o destinatário tinha que inserir a senha fornecida no corpo do e-mail para visualizar o documento."
Abrir o documento armado ativa o processo de infecção, levando à execução de um script PowerShell que realiza um amplo reconhecimento do sistema e a implantação do software legítimo AnyDesk para acesso remoto persistente.
O prolífico ator de ameaça que é o Kimsuky, o grupo está em constante estado de fluxo em relação às suas ferramentas, táticas e técnicas para entrega de malware, com alguns dos ataques cibernéticos também aproveitando o GitHub como um stager para propagar um trojan de código aberto chamado Xeno RAT.
"O malware acessa os repositórios privados do atacante usando um GitHub Personal Access Token (PAT) codificado," disse a ENKI WhiteHat.
"Este token foi usado para baixar malware de um repositório privado e fazer upload de informações coletadas dos sistemas das vítimas."
De acordo com o fornecedor sul-coreano de cibersegurança, os ataques começam com e-mails de spear-phishing com anexos de arquivo comprimido contendo um arquivo de atalho do Windows (LNK), que, por sua vez, é provavelmente utilizado para soltar um script PowerShell que então baixa e lança o documento de isca, bem como executa o Xeno RAT e um ladrão de informações baseado em PowerShell.
Outras sequências de ataque foram encontradas para utilizar um downloader baseado em PowerShell que busca um arquivo com extensão RTF do Dropbox para, por fim, lançar o Xeno RAT.
A campanha compartilha sobreposições de infraestrutura com outro conjunto de ataques que entregou uma variante do Xeno RAT conhecida como MoonPeak.
"O atacante gerenciou não apenas o malware usado nos ataques, mas também fez upload e manteve arquivos de log de sistemas infectados e informações exfiltradas em repositórios privados usando GitHub Personal Access Tokens (PATs)," observou a ENKI.
Esta atividade contínua destaca a natureza persistente e evolutiva das operações do Kimsuky, incluindo seu uso tanto do GitHub quanto do Dropbox como parte de sua infraestrutura.
O Kimsuky, segundo dados da NSFOCUS, tem sido um dos grupos de ameaças mais ativos da Coreia, ao lado do Konni, representando 5% de todas as 44 atividades de ameaças persistentes avançadas (APT) registradas pela empresa chinesa de cibersegurança em maio de 2025.
Em comparação, os três grupos APT mais ativos em abril foram Kimsuky, Sidewinder e Konni.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...