Kimsuky, la amenaza cibernética atribuida a Corea del Norte, está utilizando archivos CHM para propagar malware y recopilar datos sensibles. Desde 2012, Kimsuky ha enfocado sus ataques en Corea del Sur, América del Norte, Asia y Europa, utilizando documentos de Microsoft Office, archivos ISO y LNK malintencionados. Rapid7, la empresa de ciberseguridad que informó sobre este hallazgo, ha atribuido la actividad a Kimsuky con moderada confianza. Según la compañía, los archivos CHM se pueden utilizar para distribuir malware porque pueden ejecutar JavaScript al abrirlos. El archivo CHM se propaga dentro de un archivo ISO, VHD, ZIP o RAR, ejecutando un VBScript para configurar la persistencia y conectarse a un servidor remoto para buscar una carga útil de siguiente etapa responsable de recopilar y sacar datos sensibles.
El modus operandi de los ataques de Kimsuky ha sido descrito como en curso y en evolución, además de ser dirigidos a organizaciones con base en Corea del Sur. La empresa de ciberseguridad ha identificado una secuencia de infección alternativa que emplea un archivo CHM como punto de partida para descargar archivos por lotes encargados de recopilar información y un script de PowerShell para conectarse al servidor C2 y transferir los datos.
Los hallazgos fueron reportados en medio de una investigación de las Naciones Unidas sobre 58 presuntos ataques cibernéticos realizados por actores estatales de Corea del Norte entre 2017 y 2023. Se estima que estos ataques obtuvieron $3 mil millones en ingresos ilegales para ayudar a desarrollar aún más su programa de armas nucleares. La Oficina General de Reconocimiento (RGB), que comprende los grupos de amenazas Lazarus, Andariel, BlueNoroff y Kimsuky, es el principal servicio de inteligencia extranjera de Corea del Norte. Los hallazgos del informe de las Naciones Unidas muestran que el alto volumen de ataques cibernéticos por parte de grupos de hackers subordinados a la RGB supuestamente continuó, incluyendo el ataque a empresas de defensa y cadenas de suministro, y el uso compartido de infraestructura y herramientas.
Kimsuky ha mostrado interés en el uso de inteligencia artificial generativa, incluidos modelos de lenguaje grande, posiblemente para codificar o escribir correos electrónicos de phishing. Según el informe, Kimsuky ha sido visto utilizando ChatGPT.
En resumen, Kimsuky está propagando malware a través de archivos CHM para recopilar datos sensibles de organizaciones en Corea del Sur y otros países desde al menos 2012. Los hallazgos enfatizan la necesidad de una mayor diligencia cibernética y medidas de seguridad para proteger a las organizaciones contra amenazas cibernéticas.
Vía The Hacker News
