Campagna di attacco BabyShark
I ricercatori di sicurezza informatica hanno scoperto attacchi continui e in continua evoluzione da parte del gruppo di hacker nordcoreano Kimsuky, che utilizza un'elaborata tattica di ingegneria sociale nota come ClickFix per diffondere il malware BabyShark. Queste campagne prendono di mira gli esperti di sicurezza nazionale e sfruttano sia l'inganno umano che la furtività tecnica per ottenere l'accesso a lungo termine ai sistemi delle vittime.
Sommario
Prendere di mira gli esperti con esche di spear-phishing
Il gruppo criminale Kimsuky ha diffuso attivamente email di spear-phishing da gennaio 2025, concentrandosi inizialmente su esperti di sicurezza nazionale sudcoreani. Gli aggressori si spacciano per rappresentanti di una legittima pubblicazione economica in lingua tedesca e attirano le vittime con false richieste di interviste. Queste email contengono link ad archivi RAR dannosi che, una volta aperti, distribuiscono un file Visual Basic Script (VBS). Questo script lancia un file di Google Docs fittizio per apparire legittimo, mentre esegue silenziosamente il codice per stabilire la persistenza tramite attività pianificate e rubare informazioni di sistema.
Personalità ingannevoli e varianti modificate di ClickFix
Entro marzo 2025, Kimsuky intensificò i suoi attacchi impersonando un alto funzionario della sicurezza nazionale statunitense. Le nuove email di phishing contenevano un PDF con un elenco di domande di riunione inventate e inducevano i destinatari a inserire un "codice di autenticazione" per accedere a contenuti presumibilmente sicuri. Questo rappresenta un cambiamento nel metodo ClickFix, dalla correzione di falsi errori all'inserimento di codici, rafforzando l'illusione di legittimità.
Nell'aprile 2025 è emersa un'altra variante, questa volta impersonando un diplomatico giapponese e facendo riferimento a un incontro proposto con l'ambasciatore giapponese negli Stati Uniti. L'attacco ha nuovamente utilizzato una pagina escamotage di Google Docs per mascherare l'esecuzione di un comando PowerShell offuscato, consentendo la continua esfiltrazione dei dati e la distribuzione del payload tramite comunicazione C2 persistente.
Utilizzare come arma i portali di lavoro falsi e i pop-up
In un colpo di scena più elaborato, Kimsuky iniziò a utilizzare siti web falsi che impersonavano portali di ricerca per la difesa. Questi siti mostravano annunci di lavoro fasulli che, una volta cliccati, attivavano pop-up in stile ClickFix che invitavano gli utenti ad aprire la finestra di dialogo Esegui di Windows ed eseguire un comando di PowerShell.
Questo comando indirizzava gli utenti a installare Chrome Remote Desktop, consentendo agli aggressori di accedere a tutti i dati remoti tramite SSH tramite il dominio C2 kida.plusdocs.kro.kr. Un errore di configurazione sul server C2 ha rivelato l'esposizione dei dati delle vittime, presumibilmente provenienti da sistemi sudcoreani compromessi. Inoltre, un IP cinese collegato a questa infrastruttura conteneva un log di keylogging e un archivio ZIP di Proton Drive che distribuiva BabyShark attraverso una complessa catena a più stadi.
Innovazioni recenti: CAPTCHA falsi e distribuzione AutoIt
Già nel giugno 2025, Kimsuky aveva iniziato a sfruttare false pagine di verifica CAPTCHA di Naver. Queste pagine false richiedevano agli utenti di incollare comandi di PowerShell nella finestra di dialogo Esegui, eseguendo uno script AutoIt che raccoglieva informazioni sensibili. Ciò dimostra ulteriormente l'uso adattivo da parte del gruppo di strumenti basati su script e di ingegneria sociale per mantenere la propria posizione negli ambienti delle vittime.
Espansione dei fronti di phishing: mascheramento accademico e attacchi HWP
Oltre a ClickFix, Kimsuky è stato anche collegato a campagne di phishing camuffate da corrispondenza accademica. Queste email sembrano richiedere la revisione di un articolo di ricerca e includono un documento HWP protetto da password. Una volta aperto, il documento dannoso sfrutta un oggetto OLE incorporato per eseguire uno script di PowerShell. Questo script esegue una ricognizione dettagliata del sistema e utilizza AnyDesk, uno strumento di desktop remoto legittimo, per mantenere un accesso remoto persistente.
Punti chiave: tattiche e tecniche in sintesi
Gli attacchi di ingegneria sociale di Kimsuky si basano su:
- Falsificazione di personaggi e istituzioni di fiducia (giornalisti, diplomatici, accademici)
- Utilizzo di file esca (Google Docs, PDF, documenti HWP) per mascherare attività dannose
- Manipolazione degli utenti per indurli a eseguire comandi PowerShell tramite falsi errori, richieste di autenticazione o pagine CAPTCHA
Le caratteristiche tecniche della campagna includono :
- Accesso persistente tramite attività pianificate e software di accesso remoto (AnyDesk, Chrome Remote Desktop)
- Distribuzione multifase del malware BabyShark
- Utilizzo di strumenti di automazione basati su script come AutoIt
- Vulnerabilità infrastrutturali sfruttate che espongono i dati delle vittime rubate
Conclusione: una minaccia in continua evoluzione
La campagna BabyShark dimostra l'agilità di Kimsuky nell'evolvere le proprie tecniche di ingegneria sociale e nello sfruttare software legittimi e infrastrutture pubbliche per scopi dannosi. La strategia ClickFix evidenzia come gli autori delle minacce continuino a sfruttare il comportamento umano tanto quanto le vulnerabilità dei sistemi. Vigilanza, strategie di difesa a più livelli e formazione degli utenti rimangono fondamentali per mitigare i rischi posti da autori di minacce così sofisticati.
