Uma nova campanha de ataque elaborada está utilizando malware em PowerShell e VBScript para infectar sistemas Windows e coletar informações sensíveis. Segundo os pesquisadores a campanha DEEP#GOSU, está associada ao grupo norte-coreano patrocinado pelo estado conhecido como Kimsuky.

Os payloads usados representam uma ameaça sofisticada e multi-estágio projetada para operar de forma furtiva em sistemas Windows, especialmente do ponto de vista de monitoramento de rede.

Suas capacidades incluem keylogging, monitoramento de área de transferência, execução de payload dinâmico, exfiltração de dados e persistência usando tanto software RAT para acesso remoto completo, tarefas agendadas quanto scripts autoexecutáveis de PowerShell usando jobs.

Um aspecto notável do procedimento de infecção é que ele aproveita serviços legítimos como Dropbox ou Google Docs para comando e controle (C2), permitindo assim que o ator de ameaça se misture indetectavelmente ao tráfego de rede regular. Além disso, o uso desses serviços em nuvem para armazenar os payloads permite atualizar a funcionalidade do malware ou entregar módulos adicionais.