O grupo de ameaças Kimsuky, ligado à Coreia do Norte, retomou suas operações de espionagem cibernética com uma campanha sofisticada que visa recrutadores corporativos, investidores de criptomoedas e oficiais do setor de defesa. Analistas da LogPresso identificaram quatro campanhas distintas no primeiro semestre de 2025 que utilizam iscas baseadas em arquivos LNK e JSE para estabelecer acesso persistente e exfiltrar dados sensíveis.
Descoberta e escopo da campanha
A campanha do Kimsuky destaca-se pela variedade de alvos e pela sofisticação técnica empregada. Os atacantes distribuíram currículos falsos para recrutadores, conteúdo temático sobre moedas meme Solana para usuários de criptomoedas e documentos relacionados à competição internacional de gestão de combate científico K-ICTC para oficiais de defesa. Em todos os casos, o objetivo era obter um ponto de apoio na rede da vítima sem levantar suspeitas imediatas.
Os analistas observaram que todas as quatro campanhas seguiram um fluxo de ataque consistente: exibir um documento isca enquanto depositava silenciosamente uma carga maliciosa, garantir persistência e, finalmente, estabelecer um canal de controle remoto. A distinção principal entre as campanhas residia nos temas das iscas, métodos de entrada e infraestrutura de comando e controle (C2).
Vetor e exploração técnica
Três das quatro campanhas dependeram de arquivos LNK disfarçados para parecerem PDFs. Quando uma vítima abria um arquivo, dois payloads ocultos eram separados. Uma parte exibia silenciosamente um documento isca convincente para manter a vítima desatenta, enquanto a outra salvava um arquivo LNK secundário na pasta de inicialização do Windows, estabelecendo persistência antes de baixar e executar scripts PowerShell do servidor do atacante.
A quarta campanha adotou uma abordagem diferente, utilizando um arquivo JSE com uma extensão dupla formatada como .hwpx.jse. Como o Windows oculta extensões por padrão, a vítima via o que parecia ser um documento HWP coreano. Uma vez aberto, o script decodificava um DLL oculto usando a ferramenta nativa certutil e o carregava usando rundll32.exe, um componente legítimo do Windows.
Abuso de serviços legítimos para C2
Um fio condutor em todas as campanhas foi o uso pesado de serviços legítimos para operações de comando e controle. Repositórios do GitHub armazenavam payloads e coletavam dados de vítimas. O Microsoft CDN ajudou a entregar arquivos sem disparar alertas de rede. Túneis do VSCode criaram acesso remoto persistente através da autenticação OAuth do GitHub.
Os atacantes mostraram sinais claros de sofisticação. Em vez de usar servidores obviamente suspeitos, eles rotearam comunicações através de plataformas confiáveis como APIs raw do GitHub, CDN da Microsoft e túneis do VSCode. Isso fez com que seu tráfego se misturasse com a atividade normal, tornando mais difícil para ferramentas de segurança baseadas em reputação detectá-los.
Medidas de mitigação recomendadas
A análise da LogPresso deixa claro que os defensores não podem depender apenas do bloqueio de domínios ou hashes de arquivos. Como o Kimsuky rotaciona sua infraestrutura rapidamente, as organizações devem monitorar arquivos LNK ou JSE com extensões duplas, verificar entradas inesperadas no Agendador de Tarefas disfarçadas como serviços da OneDrive ou Intel e sinalizar qualquer instância de desativação do UAC fora da atividade administrativa normal.
Construir detecção baseada em comportamentos, cobrindo toda a cadeia de ataque, é a única maneira confiável de se manter à frente de um grupo tão adaptativo. Administradores devem também revisar as permissões de execução de scripts PowerShell e monitorar o uso de ferramentas legítimas como certutil e rundll32.exe para atividades não autorizadas.
Indicadores de Comprometimento (IoCs)
Os indicadores de comprometimento incluem hashes MD5 de arquivos como 1.pdf.lnk, OneDrive.lnk e scripts PowerShell como a.ps1 e bb.ps1. Domínios de C2 identificados incluem nelark.icu e yespp.co.kr. Endpoints de exfiltração via GitHub foram observados em repositórios públicos usados para hospedar payloads. A tabela completa de IoCs está disponível nos relatórios técnicos da LogPresso para integração em plataformas de inteligência de ameaças.