Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) BabyShark Attack Campaign

BabyShark Attack Campaign

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:

Investigadors de ciberseguretat han descobert atacs continus i en evolució per part del grup de pirates informàtics nord-coreans Kimsuky, que utilitzen una elaborada tàctica d'enginyeria social coneguda com a ClickFix per propagar el programari maliciós BabyShark. Aquestes campanyes tenen com a objectiu experts en seguretat nacional i aprofiten tant l'engany humà com l'ocultació tècnica per obtenir accés a llarg termini als sistemes de les víctimes.

Atacant-se a experts amb esquers de spear-phishing

El grup d'amenaces Kimsuky ha estat desplegant activament correus electrònics de spear-phishing des del gener del 2025, centrant-se inicialment en experts en seguretat nacional sud-coreans. Els atacants es fan passar per representants d'una publicació empresarial legítima en alemany i atrauen les víctimes amb sol·licituds d'entrevistes falses. Aquests correus electrònics contenen enllaços a arxius RAR maliciosos que, un cop oberts, despleguen un script de Visual Basic (VBS). Aquest script inicia un fitxer esquer de Google Docs per semblar legítim mentre executa silenciosament codi per establir la persistència a través de tasques programades i robar informació del sistema.

Personatges enganyosos i variants modificades de ClickFix

El març del 2025, Kimsuky va intensificar els seus esforços fent-se passar per un alt funcionari de seguretat nacional dels EUA. Els nous correus electrònics de phishing incloïen un PDF amb una llista de preguntes de reunió fabricades i enganyaven els destinataris perquè introduïssin un "codi d'autenticació" per accedir a un contingut suposadament segur. Això representa un canvi en el mètode ClickFix, que passa de corregir errors falsos a introduir codis, augmentant la il·lusió de legitimitat.

L'abril de 2025 va sorgir una altra variant, aquesta vegada suplantant la identitat d'un diplomàtic japonès i fent referència a una reunió proposada amb l'ambaixador japonès als EUA. L'atac va tornar a utilitzar una pàgina esquer de Google Docs per emmascarar l'execució d'una ordre de PowerShell ofuscada, permetent l'exfiltració de dades i el desplegament de càrrega útil continus mitjançant una comunicació C2 persistent.

Armes per a portals de treball falsos i finestres emergents

En un gir més elaborat, Kimsuky va començar a utilitzar llocs web falsos que suplantaven portals de treball de recerca de defensa. Aquests llocs mostraven ofertes de treball falses que, en fer-hi clic, activaven finestres emergents d'estil ClickFix que instaven els usuaris a obrir el quadre de diàleg Executar de Windows i executar una ordre de PowerShell.
Aquesta ordre dirigia els usuaris a instal·lar Chrome Remote Desktop, donant als atacants accés remot complet via SSH a través del domini C2 kida.plusdocs.kro.kr. Una configuració incorrecta al servidor C2 va revelar dades de la víctima exposades, que es creu que s'havien originat en sistemes sud-coreans compromesos. A més, una IP xinesa vinculada a aquesta infraestructura contenia un registre de keylogging i un arxiu ZIP de Proton Drive que lliurava BabyShark a través d'una cadena complexa de diverses etapes.

Innovacions recents: CAPTCHA fals i desplegament d’AutoIt

Tan recentment com el juny de 2025, Kimsuky va començar a explotar pàgines falses de verificació CAPTCHA de Naver. Aquestes pàgines falses indicaven als usuaris que enganxessin ordres de PowerShell al quadre de diàleg Executa, executant un script AutoIt que recopilava informació confidencial. Això demostra encara més l'ús adaptatiu del grup d'eines basades en scripts i enginyeria social per mantenir el seu punt de suport en entorns de víctimes.

Fronts de phishing en expansió: disfressa acadèmica i atacs HWP

A més de ClickFix, Kimsuky també s'ha relacionat amb campanyes de phishing disfressades de correspondència acadèmica. Aquests correus electrònics semblen ser sol·licituds per revisar un treball de recerca i inclouen un document HWP protegit amb contrasenya. Un cop obert, el document maliciós aprofita un objecte OLE incrustat per executar un script de PowerShell. Aquest script realitza un reconeixement detallat del sistema i implementa AnyDesk, una eina legítima d'escriptori remot, per mantenir l'accés remot persistent.

Conclusions clau: tàctiques i tècniques d’un cop d’ull

Els atacs d'enginyeria social de Kimsuky es basen en:

  • Suplantació d'identitat de figures i institucions de confiança (periodistes, diplomàtics, acadèmics)
  • Ús de fitxers esquer (Google Docs, PDF, documents HWP) per emmascarar activitats malicioses
  • Manipulació d'usuaris per executar ordres de PowerShell mitjançant errors falsos, sol·licituds d'autenticació o pàgines CAPTCHA

Les característiques tècniques de la campanya inclouen :

  • Accés persistent mitjançant tasques programades i programari d'accés remot (AnyDesk, Chrome Remote Desktop)
  • Lliurament en diverses etapes del programari maliciós BabyShark
  • Ús d'eines d'automatització basades en scripts com AutoIt
  • Vulnerabilitats d'infraestructura explotades que exposen dades de víctimes robades

Conclusió: una amenaça en constant evolució

La campanya BabyShark il·lustra l'agilitat de Kimsuky a l'hora de desenvolupar les seves tècniques d'enginyeria social i aprofitar programari legítim i infraestructura pública amb finalitats malicioses. L'estratègia ClickFix destaca com els actors d'amenaces continuen explotant el comportament humà tant com les vulnerabilitats del sistema. La vigilància, les estratègies de defensa per capes i l'educació dels usuaris continuen sent crucials per mitigar els riscos que plantegen aquests actors d'amenaces tan sofisticats.

Tendència

Més vist

Carregant...