BabyShark Attack Campaign

Natuklasan ng mga mananaliksik sa cybersecurity ang patuloy at umuusbong na mga pag-atake ng North Korean hacker group na Kimsuky, na gumagamit ng detalyadong social engineering tactic na kilala bilang ClickFix upang maikalat ang BabyShark malware. Ang mga kampanyang ito ay nagta-target ng mga eksperto sa pambansang seguridad at ginagamit ang parehong panlilinlang ng tao at teknikal na pagnanakaw upang makakuha ng pangmatagalang access sa mga sistema ng biktima.

Pag-target sa mga Eksperto gamit ang Spear-Phishing Lures

Ang grupo ng banta ng Kimsuky ay aktibong nagde-deploy ng mga spear-phishing na email mula noong Enero 2025, na una ay nakatuon sa mga eksperto sa pambansang seguridad ng South Korea. Ang mga umaatake ay nagbabalatkayo bilang mga kinatawan mula sa isang lehitimong publikasyong negosyo sa wikang Aleman at hinihikayat ang mga biktima ng mga pekeng kahilingan sa pakikipanayam. Ang mga email na ito ay naglalaman ng mga link sa mga nakakahamak na RAR archive, na, kapag binuksan, ay nag-deploy ng Visual Basic Script (VBS). Ang script na ito ay naglulunsad ng isang decoy na file ng Google Docs upang magmukhang lehitimo habang tahimik na nagpapatupad ng code upang maitaguyod ang pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain at nakawin ang impormasyon ng system.

Mga Mapanlinlang na Persona at Binagong ClickFix Variant

Noong Marso 2025, pinalaki ni Kimsuky ang mga pagsisikap nito sa pamamagitan ng pagpapanggap bilang isang mataas na opisyal ng pambansang seguridad ng US. Ang mga bagong phishing email ay nagtampok ng isang PDF na may listahan ng mga gawa-gawang tanong sa pagpupulong at nilinlang ang mga tatanggap sa pagpasok ng 'authentication code' upang ma-access ang dapat na secure na nilalaman. Kinakatawan nito ang pagbabago sa paraan ng ClickFix, mula sa pag-aayos ng mga pekeng error hanggang sa paglalagay ng mga code, pagpapahusay sa ilusyon ng pagiging lehitimo.

Noong Abril 2025, isa pang variant ang lumitaw, sa pagkakataong ito ay nagpapanggap bilang Japanese diplomat at tinutukoy ang isang iminungkahing pagpupulong kasama ang Japanese ambassador sa US Gumamit muli ang pag-atake ng isang decoy na pahina ng Google Docs upang itago ang pagpapatupad ng isang na-obfuscated na PowerShell command, na nagpapahintulot sa patuloy na pag-exfiltrate ng data at pag-deploy ng payload sa pamamagitan ng patuloy na C2 na komunikasyon.

Paghahain ng mga Pekeng Portal ng Trabaho at Mga Pop-Up

Sa isang mas detalyadong twist, nagsimulang gumamit si Kimsuky ng mga pekeng website na nagpapanggap bilang mga portal ng trabaho sa pananaliksik sa pagtatanggol. Nagpakita ang mga site na ito ng mga huwad na listahan ng trabaho na, kapag na-click, ay nag-trigger ng ClickFix-style na mga pop-up na humihimok sa mga user na buksan ang dialog ng Windows Run at magsagawa ng PowerShell command.
Inutusan ng command na ito ang mga user na mag-install ng Chrome Remote Desktop, na nagbibigay sa mga attacker ng buong malayuang access sa pamamagitan ng SSH sa pamamagitan ng C2 domain na kida.plusdocs.kro.kr. Isang maling configuration sa C2 server ang nagsiwalat ng nakalantad na data ng biktima, na pinaniniwalaang nagmula sa mga nakompromisong sistema ng South Korea. Bilang karagdagan, ang isang Chinese IP na naka-link sa imprastraktura na ito ay naglalaman ng isang keylogging log at isang Proton Drive ZIP archive na naghahatid ng BabyShark sa pamamagitan ng isang kumplikadong multi-stage chain.

Mga Kamakailang Inobasyon: Pekeng CAPTCHA at AutoIt Deployment

Kamakailan lamang noong Hunyo 2025, sinimulan ni Kimsuky ang pagsasamantala sa mga pekeng pahina ng pag-verify ng Naver CAPTCHA. Inutusan ng mga pekeng page na ito ang mga user na i-paste ang mga PowerShell command sa dialog ng Run, na nagpapatupad ng AutoIt script na nakakuha ng sensitibong impormasyon. Ito ay higit na nagpapakita ng adaptive na paggamit ng grupo ng mga tool na nakabatay sa script at social engineering upang mapanatili ang kanilang foothold sa mga kapaligiran ng biktima.

Pagpapalawak ng Phishing Front: Academic Disguise at HWP Attacks

Higit pa sa ClickFix, ang Kimsuky ay na-link din sa mga kampanyang phishing na itinago bilang akademikong sulat. Ang mga email na ito ay lumilitaw na mga kahilingan upang suriin ang isang papel na pananaliksik at isama ang isang dokumentong HWP na protektado ng password. Kapag nabuksan na, ginagamit ng nakakahamak na dokumento ang isang naka-embed na OLE object para magpatakbo ng PowerShell script. Ang script na ito ay nagsasagawa ng detalyadong system reconnaissance at nag-deploy ng AnyDesk, isang lehitimong remote desktop tool, upang mapanatili ang patuloy na malayuang pag-access.

Mga Pangunahing Takeaway: Mga Taktika at Teknik sa Isang Sulyap

Ang mga pag-atake ng social engineering ni Kimsuky ay umaasa sa:

• Pagpapanggap ng mga pinagkakatiwalaang numero at institusyon (mga mamamahayag, diplomat, akademya)
• Paggamit ng mga decoy file (Google Docs, PDFs, HWP documents) para itago ang malisyosong aktibidad
• Pagmamanipula ng mga user sa pagpapatakbo ng mga PowerShell command sa pamamagitan ng mga pekeng error, authentication prompt, o CAPTCHA page

Ang mga teknikal na tanda ng kampanya ay kinabibilangan ng :

• Patuloy na pag-access sa pamamagitan ng mga naka-iskedyul na gawain at remote access software (AnyDesk, Chrome Remote Desktop)
• Multi-stage na paghahatid ng BabyShark malware
• Paggamit ng mga tool sa automation na nakabatay sa script tulad ng AutoIt
• Pinagsamantalahang mga kahinaan sa imprastraktura na naglalantad ng ninakaw na data ng biktima

Konklusyon: Isang Patuloy na Umuunlad na Banta

Inilalarawan ng kampanyang BabyShark ang liksi ni Kimsuky sa pagpapaunlad ng kanilang mga diskarte sa social engineering at paggamit ng lehitimong software at pampublikong imprastraktura para sa mga malisyosong layunin. Itinatampok ng diskarte sa ClickFix kung paano patuloy na pinagsasamantalahan ng mga aktor ng pagbabanta ang pag-uugali ng tao gaya ng mga kahinaan ng system. Ang pagbabantay, mga layered na diskarte sa pagtatanggol, at edukasyon ng gumagamit ay nananatiling mahalaga sa pag-iwas sa mga panganib na dulot ng mga sopistikadong aktor ng pagbabanta.