Um grupo de hackers ligado ao governo da Coreia do Norte está por trás de uma nova campanha de ataques cibernéticos direcionados a setores empresariais, governamentais e de criptomoedas na Coreia do Sul. Nomeada DEEP#DRIVE pela empresa de segurança Securonix, a operação tem sido atribuída ao grupo de hackers Kimsuky, também conhecido como APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 e Velvet Chollima. A campanha utiliza phishing altamente direcionado, com iscas escritas em coreano e disfarçadas de documentos legítimos. Os e-mails maliciosos contêm anexos nos formatos .HWP, .XLSX e .PPTX, que parecem ser registros de trabalho, documentos de seguro ou arquivos relacionados a criptomoedas.

Ao serem abertos, esses arquivos ativam o processo de infecção, permitindo o acesso dos hackers ao sistema da vítima. O ataque é notável pelo uso extensivo de scripts PowerShell em diversas etapas, incluindo entrega de cargas maliciosas, reconhecimento do sistema e execução de comandos remotos. Além disso, os invasores utilizam o Dropbox para distribuir malwares e exfiltrar dados roubados, tornando o ataque mais difícil de detectar. O vetor inicial de infecção começa com um arquivo ZIP contendo um atalho (.LNK) disfarçado de documento legítimo.

Quando extraído e executado, esse arquivo ativa um script PowerShell, que baixa um documento isca hospedado no Dropbox para enganar a vítima, ao mesmo tempo em que estabelece persistência no sistema por meio de uma tarefa agendada chamada “ChromeUpdateTaskMachine”. Um dos documentos usados como isca tratava de protocolos de segurança para operações com empilhadeiras, um tema aparentemente inofensivo, mas utilizado para enganar alvos específicos. Os hackers exploram a autenticação baseada em tokens OAuth para interagir com a API do Dropbox, garantindo um método furtivo e eficiente para exfiltrar dados. Esse modelo de ataque baseado na nuvem evita bloqueios convencionais por IP ou domínios, dificultando sua detecção.