Dreigingsactoren met banden met Noord-Korea zijn waargenomen gericht op Web3 en cryptocurrency-gerelateerde bedrijven met malware geschreven in de NIM-programmeertaal, wat een constante evolutie van hun tactiek onderstreept.
“Ongewoon voor MacOS-malware gebruiken de dreigingsacteurs een procesinjectietechniek en externe communicatie via WSS, de TLS-gecodeerde versie van het Websocket-protocol,” zei Sentinelone-onderzoekers Phil Stokes en Raffaele Sabato in een rapport dat werd gedeeld met de Hacker News.
“Een nieuw persistentiemechanisme maakt gebruik van SIGInt/Sigterm -signaalhandlers om persistentie te installeren wanneer de malware wordt beëindigd of het systeem opnieuw is opgestart.”
Het Cybersecurity Company volgt de malware -componenten collectief onder de naam Nimdoor. Het is vermeldenswaard dat sommige aspecten van de campagne eerder zijn gedocumenteerd door Huntabil.it en later door Huntress en Validin, maar met verschillen in de payloads geïmplementeerd.
De aanvalsketens omvatten social engineering -tactieken en benadert doelen op berichtenplatforms zoals Telegram om een zoombijeenkomst te plannen via Calendly, een afspraakplanningssoftware. Het doel wordt vervolgens een e -mail verzonden met een veronderstelde Link met zoombijeenkomst, samen met instructies om een SDK -updatescript van Zoom uit te voeren om ervoor te zorgen dat ze de nieuwste versie van de videoconferentiesoftware uitvoeren.
Deze stap resulteert in de uitvoering van een AppleScript dat fungeert als een leveringsvoertuig voor een tweede fase script van een externe server, terwijl de gebruiker ogenschijnlijk omleidt naar een legitieme omleidingsverbinding. Het nieuw gedownloade script pakt vervolgens zip -archieven uit met binaire bestanden die verantwoordelijk zijn voor het opzetten van persistentie en het lanceren van informatie die bash -scripts stelen.
In het hart van de infectiesequentie is een C ++ loader genaamd InjectWithDylldarm64 (AKA InjectWithDylld), die twee ingebedde binaries decoderen met de naam Target en Trojan1_arm64. InjectWithDylldarm64 lanceert het doel in een geschorste toestand en injecteert de Trojan1_ARM64’s Binary’s Code, waarna de uitvoering van het gesuspendeerde proces wordt hervat.
De malware gaat verder met het opzetten van communicatie met een externe server en haalt opdrachten op waarmee het systeeminformatie kan verzamelen, willekeurige opdrachten uitvoeren en de huidige werkmap wijzigen of instellen. De resultaten van de uitvoering worden teruggestuurd naar de server.
Trojan1_arm64, van zijn kant, is in staat om nog twee payloads te downloaden, die zijn uitgerust met mogelijkheden om inloggegevens te oogsten van webbrowsers zoals Arc, Brave, Google Chrome, Microsoft Edge en Mozilla Firefox, en gegevens uit de telegram -applicatie te extraheren.
Ook gedropt als onderdeel van de aanvallen is een verzameling van NIM-gebaseerd uitvoerbaar bestand dat wordt gebruikt als een lanceerpad voor CorekitAgent, die bewaakt voor gebruiker pogingen om het malwareproces te doden en zorgt voor persistentie.
“Dit gedrag zorgt ervoor dat elke door de gebruiker geïnitieerde beëindiging van de malwares resulteert in de implementatie van de kerncomponenten, waardoor de code weerlegt is aan fundamentele defensieve acties,” zeiden de onderzoekers.
De malware lanceert ook een AppleScript dat om de 30 seconden uitkomt op een van de twee hardgecodeerde command-and-control (C2) -servers, terwijl ook een momentopname van de lijst met lopende processen wordt geëxfiltreerd en extra scripts uitvoert die door de server worden verzonden.
De bevindingen laten zien hoe Noord-Koreaanse dreigingsacteurs hun zinnen in toenemende mate trainen op macOS-systemen, en het AppleScript bewapent om op te treden als een achterdeur na de exploitatie om hun doelen voor het verzamelen van gegevens te bereiken.
“Noord-Koreaans uitgelijnde dreigingsacteurs hebben eerder geëxperimenteerd met Go en Rust, op dezelfde manier combineren van scripts en binaries samengesteld in multi-fase aanvalsketens,” zeiden de onderzoekers.
“Het vrij unieke vermogen van NIM om functies tijdens compilatietijd uit te voeren, stelt aanvallers in staat om complex gedrag echter in een binair getal te combineren met minder voor de hand liggende controlestroom, wat resulteert in gecompileerde binaries waarin ontwikkelaarscode en NIM runtime -code zelfs op functieniveau worden vermengd.”
Kimsuky’s gebruik van ClickFix gaat verder
De openbaarmaking komt als de Zuid -Koreaanse cybersecuritybedrijf Genians Kimusky’s voortdurende gebruik van de ClickFix Social Engineering Tactic blootlegde om een verscheidenheid aan tools op afstand te leveren als onderdeel van een campagne nagesynchroniseerd Babyshark, een bekend cluster van activiteiten toegeschreven aan de Noord -Koreaanse hackgroep.
De aanvallen, voor het eerst waargenomen in januari 2025 en richt op nationale veiligheidsexperts in Zuid-Korea, omvatten het gebruik van speer-phishing-e-mails die zich voordoen als interviewverzoeken om een legitiem Duitstalige zakelijke krant en hen misleiden om een kwaadwillende link te openen met een nep-rar archief.
Aanwezig in het archief is een Visual Basic Script (VBS) -bestand dat is ontworpen om een Decoy Google Docs -bestand te openen in de webbrowser van de gebruiker, terwijl op de achtergrond kwaadaardige code wordt uitgevoerd om doorzettingsvermogen op de host te vestigen via geplande taken en systeeminformatie in het oogst.
De daaropvolgende aanvallen die in maart 2025 worden waargenomen, hebben zich voorgelegd aan een senior Amerikaanse nationale veiligheidsfunctionaris om doelen te misleiden bij het openen van een PDF -bijlage met een lijst met vragen met betrekking tot een vergadering tijdens het vermeende bezoek van de ambtenaar aan Zuid -Korea.
“Ze probeerden ook het doel te misleiden om een handleiding te openen en een authenticatiecode in te voeren, zogenaamd nodig om toegang te krijgen tot een beveiligd document,” zei Genians. “Terwijl de originele ‘ClickFix’ tactiek getrakteerde gebruikers om te klikken om een specifieke fout op te lossen, heeft deze variant de aanpak gewijzigd door gebruikers ertoe te brengen een authenticatiecode te kopiëren en te plakken om toegang te krijgen tot een beveiligd document.”
Een soortgelijke tactiek werd gedocumenteerd door Proofpoint in april 2025, het verschil is dat het e -mailbericht beweerde afkomstig te zijn van een Japanse diplomaat en drong er bij de ontvanger op aan een ontmoeting met de Japanse ambassadeur in de Verenigde Staten op te zetten.
Zodra de Obfuscated Malicious PowerShell -opdracht is uitgevoerd, wordt een Decoy Google Docs -bestand gebruikt als afleiding om de uitvoering van kwaadaardige code te verbergen die aanhoudende communicatie met een C2 -server vaststelt om gegevens te verzamelen en extra payloads te leveren.
Een tweede variant van de ClickFix-strategie omvat het gebruik van een nepwebsite die een legitiem Defensie-onderzoeksportaal nabootst en het vullen met nep-vermeldingen, waardoor sitebezoekers die op deze berichten klikken, worden geserveerd met een pop-upbericht in ClickFix-stijl om het dialoogvenster Windows Run te openen en een PowerShell-opdracht uit te voeren.
De opdracht, van zijn deel, begeleidde gebruikers om de Chrome Remote Desktop -software op hun systemen te downloaden en te installeren, waardoor afstandsbediening over SSH via de C2 -server “kida.plusdocs.kro (.) KR” Kr. ” GENIANS zeiden dat het een map met kwetsbaarheid in de C2 -server ontdekte die publiekelijk blootgestelde gegevens die waarschijnlijk zijn verzameld van slachtoffers in Zuid -Korea.
De C2-server bevatte ook een IP-adres uit China, dat is gevonden dat het een keylogging-record bevat voor een proton drive-link die een ziparchief hostt dat wordt gebruikt om Babyshark-malware op de geïnfecteerde Windows-host te laten vallen door middel van een multi-fasen aanvalsketen.
Al als vorige maand wordt aangenomen dat Kimsuky nog een andere variant van ClickFix heeft verzonnen waarin de dreigingsacteurs neppagina’s van navolatie naver captcha implementeren om PowerShell -opdrachten te kopiëren en te plakken in het dialoogvenster Windows Run dat een Autoit -script lanceert om gebruikersinformatie te gebruiken.
“De ‘Babyshark’-campagne staat bekend om zijn snelle acceptatie van nieuwe aanvalstechnieken, waardoor ze vaak worden geïntegreerd met scriptgebaseerde mechanismen,” zei het bedrijf. “De ‘clickfix’ tactiek die in dit rapport wordt besproken, lijkt een ander geval van openbaar beschikbare methoden die worden aangepast voor kwaadaardig gebruik.”
In de afgelopen weken is Kimsuky ook gekoppeld aan e -mail phishing -campagnes die blijkbaar afkomstig zijn van academische instellingen, maar malware distribueren onder het voorwendsel van het beoordelen van een onderzoekspaper.
“De e -mail heeft de ontvanger ertoe aangezet om een HWP -documentbestand te openen met een kwaadwillende OLE -objectbijlage,” zei Ahnlab. “Het document was wachtwoord beveiligd en de ontvanger moest het wachtwoord in de e-mailorgaan invoeren om het document te bekijken.”
Het openen van het bewapende document activeert het infectieproces, wat leidt tot de uitvoering van een PowerShell -script dat uitgebreide systeemverkenning uitvoert en de implementatie van de legitieme Anydesk -software voor aanhoudende externe toegang.
De productieve dreigingsacteur die Kimsuky is, de groep verkeert in een constante staat van flux met betrekking tot haar tools, tactieken en technieken voor malware-levering, waarbij sommige van de cyberaanvallen GitHub ook gebruiken als een stager voor het propageren van een open-source trojan genaamd Xeno Rat.
“De malware heeft toegang tot de privérepositories van de aanvaller met behulp van een hard gecodeerde Github Personal Access Token (PAT),” zei Enki Whitehat. “Dit token werd gebruikt om malware te downloaden van een privérepository en informatie te uploaden die is verzameld van slachtoffersystemen.”
Volgens de Zuid-Koreaanse leverancier van cybersecurity beginnen de aanvallen met speer-phishing-e-mails met gecomprimeerde archiefbijlagen met een Windows Shortcut (LNK) -bestand, dat op zijn beurt waarschijnlijk wordt gebruikt om een PowerShell-script te laten vallen dat vervolgens het Decoy-document downloadt en lanceert het Decoy-document, het Decoy-document lanceert, evenals het uitvoeren van Xeno Rat en een Powershell Information Stealer.
Andere aanvalsreeksen zijn gevonden om een PowerShell-gebaseerde downloader te gebruiken die een bestand haalt met een RTF-extensie van Dropbox om uiteindelijk Xeno Rat te starten. De campagne deelt infrastructuur overlapt met een andere reeks aanvallen die een variant van Xeno Rat hebben geleverd, bekend als Moonpeak.
“De aanvaller beheerde niet alleen de malware die werd gebruikt bij aanvallen, maar heeft ook geïnfecteerde systeemlogbestanden en geëxfiltreerde informatie in private repositories geüpload met behulp van GitHub Personal Access Tokens (PATS),” merkte Enki op. “Deze voortdurende activiteit benadrukt de aanhoudende en evoluerende aard van de activiteiten van Kimsuky, inclusief hun gebruik van zowel GitHub als Dropbox als onderdeel van hun infrastructuur.”
Kimsuky, volgens gegevens van NSFOCUS, is een van de meest actieve bedreigingsgroepen uit Korea, naast Konni, goed voor 5% van alle 44 geavanceerde persistent -bedreigingsactiviteiten (APT) -activiteiten die in mei 2025 werden geregistreerd door het Chinese cybersecurity -bedrijf in mei 2025. In vergelijking, de top drie meest actieve APT -groepen in april waren kimky, sideewinder, en Konni.
