Kimsuky

O FBI alertou sobre uma nova técnica de phishing, chamada ‘quishing’, utilizada pelo grupo de hackers norte-coreano Kimsuky. Esses ataques visam roubar credenciais de acesso a serviços como Microsoft 365, Okta e VPNs, direcionando usuários a páginas falsas por meio de QR codes maliciosos. Os hackers enviam e-mails que contêm imagens com QR codes, que são mais difíceis de serem detectados por sistemas de segurança, permitindo que os e-mails cheguem às caixas de entrada dos alvos. Ao escanear o código, a vítima é redirecionada por múltiplos links que coletam informações como sistema operacional e endereço IP, levando-a a uma página de captura de credenciais. Uma vez que as credenciais são inseridas, os atacantes podem roubar tokens de sessão, permitindo que eles contornem a autenticação multifator (MFA). O FBI recomenda uma defesa em múltiplas camadas, incluindo treinamento de funcionários e gestão de dispositivos móveis, para mitigar esses riscos. O uso crescente de dispositivos móveis não gerenciados aumenta a vulnerabilidade a esses ataques, tornando-os uma preocupação significativa para organizações, especialmente aquelas que lidam com informações sensíveis.

O FBI divulgou um alerta sobre um novo vetor de ataque de phishing, denominado ‘quishing’, utilizado por atores de ameaça patrocinados pelo Estado norte-coreano, especificamente o grupo Kimsuky. Desde 2025, esses atacantes têm direcionado suas campanhas a instituições acadêmicas, think tanks e entidades governamentais dos EUA, utilizando códigos QR maliciosos em e-mails de spear-phishing. Essa técnica força as vítimas a transitar de dispositivos seguros para dispositivos móveis, que podem não ter a mesma proteção, permitindo que os atacantes contornem defesas tradicionais. O grupo Kimsuky, associado ao Bureau Geral de Reconhecimento da Coreia do Norte, tem um histórico de exploração de falhas em protocolos de autenticação de e-mail. O FBI observou várias tentativas de phishing em que os códigos QR levavam a questionários ou páginas falsas de login, visando roubar credenciais. O uso de QR codes em ataques de phishing representa um vetor de intrusão de identidade resistente à autenticação multifatorial, aumentando o risco para organizações que não monitoram adequadamente dispositivos móveis não gerenciados.

O grupo de ameaças cibernéticas norte-coreano Kimsuky está vinculado a uma nova campanha que distribui uma variante de malware para Android chamada DocSwap. O malware é disseminado por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística CJ Logistics. Os atacantes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar o malware em seus dispositivos móveis. A aplicação maliciosa, ao ser instalada, decripta um APK embutido e ativa um serviço que permite controle remoto (RAT) do dispositivo. Para contornar as advertências de segurança do Android, os atacantes apresentam o aplicativo como uma versão oficial e segura. Além disso, a campanha utiliza mensagens de smishing e e-mails de phishing que se passam por empresas de entrega para atrair as vítimas. Uma vez instalado, o malware pode registrar teclas, capturar áudio, acessar a câmera, realizar operações de arquivos e coletar dados sensíveis, como mensagens SMS e contatos. O ataque também inclui amostras disfarçadas de aplicativos legítimos, como um VPN, demonstrando a evolução das táticas do grupo. A análise revela que os sites de phishing estão associados a campanhas anteriores de coleta de credenciais, aumentando a preocupação com a segurança dos usuários na Coreia do Sul e potencialmente em outros locais, incluindo o Brasil.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Hackers da Coreia do Norte, identificados como Kimsuky, utilizaram o ChatGPT para criar uma identificação militar falsa, que foi empregada em ataques de spear-phishing contra instituições de defesa da Coreia do Sul. O Genians Security Center (GSC) reportou que, apesar das restrições implementadas pela OpenAI para evitar a geração de conteúdo malicioso, os criminosos conseguiram contornar essas barreiras ao solicitar um ‘design de amostra’ ou ‘mock-up’. O uso de imagens disponíveis publicamente facilitou a manipulação do modelo de IA. A criação de documentos de identificação falsos é ilegal e representa um risco significativo, especialmente em contextos de segurança nacional. O ataque destaca a vulnerabilidade das instituições de defesa a métodos inovadores de engenharia social, que podem comprometer informações sensíveis e a segurança nacional. O GSC não revelou o nome da instituição alvo, mas enfatizou a necessidade de cautela ao lidar com ferramentas de IA, que podem ser exploradas para fins ilícitos.

Um novo ataque de ameaça persistente avançada (APT) atribuído ao grupo Kimsuky, vinculado à Coreia do Norte, destaca o uso de ferramentas de IA generativa, como o ChatGPT, para aprimorar campanhas de spear-phishing. Em julho de 2025, a campanha explorou imagens deepfake de crachás de funcionários militares sul-coreanos para infiltrar entidades relacionadas à defesa. Os atacantes enviaram e-mails de phishing que imitavam domínios de instituições de defesa da Coreia do Sul, contendo arquivos maliciosos disfarçados. A análise revelou que o ChatGPT foi manipulado para gerar documentos falsificados, contornando restrições de replicação de ID. Os arquivos maliciosos, uma vez executados, utilizavam scripts ofuscados para se conectar a servidores de comando e controle, permitindo o roubo de dados e o controle remoto de dispositivos infectados. A campanha ilustra uma tendência crescente de atores patrocinados por estados que utilizam IA para engenharia social e entrega de malware, destacando a ineficácia das soluções antivírus tradicionais contra comandos ofuscados e conteúdo gerado por IA. A detecção e resposta em endpoints (EDR) foi identificada como essencial para neutralizar essas ameaças, evidenciando a necessidade de monitoramento proativo para evitar que organizações sejam vítimas de estratégias APT habilitadas por IA.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

Um vazamento significativo de dados expôs as operações do grupo cibernético Kimsuky, vinculado à Coreia do Norte, revelando táticas e técnicas avançadas de ataque. O conjunto de dados vazados mostra operações sofisticadas de roubo de credenciais, com foco em redes da Coreia do Sul e Taiwan, integrando infraestrutura chinesa. Entre as descobertas, destaca-se o desenvolvimento de malware avançado e a implementação de um rootkit Linux, que permite acesso persistente e oculto aos sistemas. Além disso, o uso de ferramentas de Reconhecimento Óptico de Caracteres (OCR) para analisar documentos de segurança em coreano sugere tentativas de clonar sistemas de Infraestrutura de Chave Pública (PKI) da Coreia do Sul. O vazamento inclui arquivos de certificados PKI comprometidos, evidenciando a penetração em infraestruturas digitais críticas. O operador Kim demonstra uma evolução preocupante nas operações cibernéticas de nações-estado, utilizando recursos chineses para expandir seu alcance e dificultar a atribuição de ataques. Essa situação representa um risco elevado para a segurança cibernética na região e, potencialmente, para o Brasil, dada a interconexão global das redes.

Um novo relatório do Trellix Advanced Research Center revelou uma operação de espionagem sofisticada ligada aos hackers Kimsuky, da Coreia do Norte, que exploraram a plataforma GitHub para implantar o malware XenoRAT em embaixadas ao redor do mundo. Entre março e julho de 2025, foram realizados pelo menos 19 ataques de spear-phishing direcionados a missões diplomáticas, principalmente na Coreia do Sul. Os atacantes utilizaram táticas de engenharia social altamente credíveis, se passando por contatos diplomáticos confiáveis e enviando e-mails com convites para eventos oficiais.