Um novo ataque de engenharia social atribuído ao grupo de hackers Kimsuky, ligado à Coreia do Norte, foi identificado. A operação utiliza contas fictícias no Facebook para abordar alvos via Messenger e, eventualmente, entregar malware.
O grupo de ameaça criou uma conta no Facebook com uma identidade falsa, fingindo ser um funcionário público que trabalha no campo dos direitos humanos da Coreia do Norte. Essa campanha de ataque em várias etapas é projetada para atingir ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte.
Essa abordagem difere da tradicional estratégia de spear-phishing baseada em e-mails, utilizando a plataforma de mídia social para se aproximar das vítimas através do Facebook Messenger. Os hackers enganam as vítimas para que abram documentos aparentemente privados escritos pela persona fictícia.
Os documentos de isca, hospedados no OneDrive, são arquivos de Console Comum da Microsoft que se disfarçam como ensaios ou conteúdos relacionados a uma cúpula trilateral entre Japão, Coreia do Sul e EUA. Essa estratégia sugere que a campanha pode estar direcionada a pessoas específicas no Japão e na Coreia do Sul. O uso de arquivos MSC para executar o ataque indica que o Kimsuky está utilizando tipos de documentos incomuns para evitar a detecção.