Kimsuky e Lazarus coordenam exploração de zero-day e roubo de cripto | Cyber ataques

Kimsuky e Lazarus coordenam uma campanha que combina spear-phishing com exploração do CVE-2024-38193 para instalar backdoors (InvisibleFerret) e exfiltrar fundos e inteligência; caso documentado incluiu US$32 milhões em 48 horas.

Relatórios apontam que os grupos norte-coreanos Kimsuky e Lazarus atuaram de forma coordenada em campanhas que combinam engenharia social com exploração de vulnerabilidades zero-day para atingir setores críticos e carteiras de criptomoedas.

Panorama da operação

As análises indicam que Kimsuky conduz a fase inicial de reconhecimento por meio de spear-phishing — mensagens disfarçadas como convites para conferências acadêmicas ou propostas de colaboração — que carregam anexos maliciosos em formatos HWP ou MSC. A abertura desses anexos instala um backdoor identificado como FPSpy e ativa um keylogger denominado KLogEXE para coleta de senhas, conteúdo de e-mail e informações de sistema.

Escalada pelo Lazarus

Após a coleta de inteligência, o controle é passado ao Lazarus, que explora vulnerabilidades para aprofundar o acesso. Pesquisadores do CN-SEC documentaram o uso do CVE-2024-38193 (falha de escalonamento de privilégios no Windows) para distribuir pacotes Node.js maliciosos que, ao serem executados, concedem privilégios SYSTEM e implantam o backdoor InvisibleFerret.

Características técnicas do InvisibleFerret

O backdoor descreve-se por técnicas de evasão: disfarce do tráfego de rede como requisições HTTPS normais, escaneamento de memória em busca de chaves privadas de carteiras e rotação diária de domínios de C2 por meio de polling. Em um caso citado, operadores transferiram US$32 milhões em criptomoedas em 48 horas sem acionar alertas de segurança.

Logística e limpeza de trilhas

Os grupos também compartilham infraestrutura para remover vestígios: sobrescrevem arquivos maliciosos com processos legítimos e deletam logs de ataque. Setores identificados como mais em risco incluem defesa, finanças, energia e empresas ligadas a blockchain.

Impacto e limites

A coordenação entre atores com perfis distintos — Kimsuky focado em coleta e engenharia social, Lazarus na exploração e monetização — aumenta a efetividade das intrusões. As fontes documentam técnicas e casos exemplares, mas não fornecem uma contagem consolidada de vítimas globais nem atribuem, além do comportamento técnico, motivações políticas ou econômicas além das evidências técnicas apresentadas.

Recomendações

As defesas devem priorizar patching de vulnerabilidades críticas, monitoramento de execução de pacotes de terceiros (ex.: Node.js), detecção de exfiltração cifrada e controles de proteção de chaves privadas em memória. Observabilidade de logs e segregação de privilégios reduzem o risco de escalonamento como o demonstrado pelo CVE-2024-38193.