Хакеры из КНДР атакуют Web3 и криптовалютные компании через троянец NimDoor. Эксперты SentinelOne выявили вредоносную программу на языке Nim, использующую сигналы SIGINT/SIGTERM для переустановки после перезагрузки. Атака начинается с фишинга в Telegram: жертвам предлагают «обновление Zoom" через Calendly. AppleScript загружает ZIP-архив с бинарными файлами.
Ключевой компонент — загрузчик InjectWithDyldArm64 на C++. Он расшифровывает и внедряет в процесс Target исполняемый файл trojan1_arm64. Троян собирает системные данные, выполняет команды и крадет логины из браузеров Arc, Brave, Chrome, Edge, Firefox и данных Telegram. Каждые 30 секунд он отправляет на C2-сервер список активных процессов.
"CoreKitAgent перехватывает попытки убить процесс, гарантируя выживаемость троянца», — объясняет эксперт SentinelOne Фил Стоукс. Северокорейские группы перешли с Go и Rust на Nim, чья компиляция маскирует вредоносный код. , Huntress и Validin ранее документировали элементы атаки.
Параллельно группировка Kimsuky использует тактику ClickFix. В январе 2025 года они рассылали письма от имени немецкой газеты экспертам по безопасности Южной Кореи. В марте маскировались под американского чиновника. Жертвы получали RAR-архив с VBS-файлом, открывающим Google Docs-документ при запуске вредоносного кода.
В апреле Proofpoint зафиксировал новую схему: хакеры выдавали себя за японского дипломата, требуя «код аутентификации» для доступа к документу. В другом сценарии фиктивный портал вакансий в оборонной сфере запускал PowerShell, устанавливающий Chrome Remote Desktop для удаленного доступа через сервер kida.plusdocs.kro[.]kr. Уязвимость этого сервера раскрыла данные южнокорейских жертв.
Kimsuky также рассылает HWP-документы с вредоносными OLE-объектами под видом рецензирования научных работ. PowerShell-скрипты устанавливают AnyDesk и крадут данные. Группа использует GitHub для распространения трояна Xeno RAT через токены (PAT), а Dropbox — для передачи RTF-файлов с его модификацией MoonPeak.
По данным NSFOCUS, в мае 2025 года Kimsuky входила в топ-5 активных APT-групп (5% из 44 атак). В апреле она лидировала вместе с Konni и Sidewinder. Обе группы — «наиболее активные угрозы из Кореи». В последних атаках Kimsuky применяла фейковые CAPTCHA-страницы Naver для внедрения AutoIt-скриптов.
Изображение носит иллюстративный характер
Ключевой компонент — загрузчик InjectWithDyldArm64 на C++. Он расшифровывает и внедряет в процесс Target исполняемый файл trojan1_arm64. Троян собирает системные данные, выполняет команды и крадет логины из браузеров Arc, Brave, Chrome, Edge, Firefox и данных Telegram. Каждые 30 секунд он отправляет на C2-сервер список активных процессов.
"CoreKitAgent перехватывает попытки убить процесс, гарантируя выживаемость троянца», — объясняет эксперт SentinelOne Фил Стоукс. Северокорейские группы перешли с Go и Rust на Nim, чья компиляция маскирует вредоносный код. , Huntress и Validin ранее документировали элементы атаки.
Параллельно группировка Kimsuky использует тактику ClickFix. В январе 2025 года они рассылали письма от имени немецкой газеты экспертам по безопасности Южной Кореи. В марте маскировались под американского чиновника. Жертвы получали RAR-архив с VBS-файлом, открывающим Google Docs-документ при запуске вредоносного кода.
В апреле Proofpoint зафиксировал новую схему: хакеры выдавали себя за японского дипломата, требуя «код аутентификации» для доступа к документу. В другом сценарии фиктивный портал вакансий в оборонной сфере запускал PowerShell, устанавливающий Chrome Remote Desktop для удаленного доступа через сервер kida.plusdocs.kro[.]kr. Уязвимость этого сервера раскрыла данные южнокорейских жертв.
Kimsuky также рассылает HWP-документы с вредоносными OLE-объектами под видом рецензирования научных работ. PowerShell-скрипты устанавливают AnyDesk и крадут данные. Группа использует GitHub для распространения трояна Xeno RAT через токены (PAT), а Dropbox — для передачи RTF-файлов с его модификацией MoonPeak.
По данным NSFOCUS, в мае 2025 года Kimsuky входила в топ-5 активных APT-групп (5% из 44 атак). В апреле она лидировала вместе с Konni и Sidewinder. Обе группы — «наиболее активные угрозы из Кореи». В последних атаках Kimsuky применяла фейковые CAPTCHA-страницы Naver для внедрения AutoIt-скриптов.
