Pesquisadores atribuíram ao grupo Ricochet Chollima uma campanha denominada "Operation: ToyBox Story" que usa atalhos (.LNK) e execução fileless para comprometer alvos ligados a ativismo e organizações focadas na Coreia do Norte. A investigação foi coberta pelo Cyber Security News com base em análises publicadas por especialistas, incluindo o pesquisador identificado como S3N4T0R e o Genians Security Center.
Descoberta e escopo
Segundo a cobertura, a operação começou em março de 2025 e foca grupos e indivíduos envolvidos com assuntos sobre a Coreia do Norte. Os atacantes enviam e‑mails de spear‑phishing que aparentam vir de fontes legítimas — especificamente, fingindo-se de especialistas no tema — e incluem links para arquivos hospedados no Dropbox. Esses links levam a arquivos ZIP contendo atalhos do Windows (.LNK) que, quando abertos, disparam uma cadeia de execução maliciosa.
Vetor técnico e cadeia de execução
Ao extrair o ZIP e abrir o arquivo que parece um documento, um comando PowerShell oculto incorporado no atalho é executado silenciosamente. Esse comando inicia um arquivo em lote chamado "toy03.bat", que por sua vez carrega um arquivo denominado "toy02.dat" da pasta temporária. O carregador decodifica dados transformados por XOR e injeta shellcode diretamente na memória do processo, criando uma nova thread executável para o código injetado. Esse comportamento caracteriza execução fileless e torna a detecção baseada em arquivos muito mais difícil.
Comunicação e persistência
A campanha aproveita canais legítimos para comunicação: os operadores utilizam a API do Dropbox para receber comandos e exfiltrar dados, ocultando tráfego malicioso dentro de comunicações com serviços confiáveis. A análise relata que o malware evita gravar binários persistentes em disco, privilegiando a execução na memória e a manutenção da presença por meios que dificultam coleta de evidências tradicionais.
Evidências e limitações
- A matéria cita uma análise técnica por S3N4T0R e menções ao relatório do Genians Security Center, mas não publica, em sua íntegra, todos os indicadores de compromisso (IoCs) na matéria consultada;
- Não há, no texto acessado, uma lista pública completa de domínios, hashes ou amostras para download; leitura das fontes originais é necessária para equipes que queiram implementar detecção baseada em IoCs;
- O foco geopoliticamente sensível da campanha (ativismo relativo à Coreia do Norte) é enfatizado pelos pesquisadores como um fator de direcionamento das iscas utilizadas.
Implicações para defesa de redes
O uso combinado de atalhos maliciosos, comandos PowerShell ocultos, carregadores em lote e injeção de código em memória reforça a necessidade de controles que vão além da simples detecção por assinatura. Ferramentas de EDR com capacidade de monitorar invocações anômalas do PowerShell, comportamento de processos (criação de threads não usuais, decodificação em memória) e tráfego para APIs de armazenamento em nuvem podem ser decisivas para identificar e conter campanhas similares. Equipes de resposta que assumem a presença de tráfego legítimo como canal C2 devem correlacionar atividades suspeitas com contexto humano e indicadores de spear‑phishing.
Fonte: Cyber Security News, com base em análises de S3N4T0R e Genians Security Center (publicado em 03/02/2026).
Observação: a matéria compila a análise técnica disponível publicamente; para mitigações específicas e IoCs, recomenda‑se consultar os relatórios técnicos originais citados pela reportagem.