O grupo de hackers norte-coreano Kimsuky está usando uma nova técnica para invadir dispositivos, enganando vítimas a executar códigos maliciosos via PowerShell. Segundo a Microsoft, os criminosos se passam por autoridades sul-coreanas para ganhar a confiança do alvo e enviam e-mails de phishing com um anexo em PDF falso. Para visualizar o suposto documento, a vítima acessa um link que a orienta a registrar seu sistema Windows. Durante esse processo, é solicitado que execute o PowerShell como administrador e copie um código fornecido pelos hackers. Caso siga as instruções, o código instala uma ferramenta de acesso remoto e um certificado com PIN fixo, permitindo que os invasores controlem o dispositivo e roubem dados.

A Microsoft observou ataques limitados com essa abordagem desde janeiro de 2025, destacando que se trata de uma mudança na tática usual do Kimsuky. Esse método lembra outros ataques recentes, como a campanha Contagious Interview, onde hackers convenceram usuários de macOS a rodar comandos maliciosos no Terminal. Essas táticas exploram a própria vítima para contornar proteções de segurança. Enquanto isso, o Departamento de Justiça dos EUA anunciou que Christina Marie Chapman, de 48 anos, do Arizona, confessou ter participado de um esquema fraudulento que ajudou hackers norte-coreanos a conseguirem empregos remotos em mais de 300 empresas americanas.

Entre 2020 e 2023, Chapman e seus cúmplices roubaram identidades de cidadãos dos EUA para que trabalhadores norte-coreanos se passassem por residentes legais, gerando mais de US$ 17,1 milhões para a Coreia do Norte. Para sustentar a farsa, Chapman hospedava laptops em casa, simulando que os trabalhadores estavam nos EUA, quando, na realidade, operavam da China e da Rússia. Mais de 70 identidades foram comprometidas e falsas obrigações fiscais criadas. O FBI alertou que hackers norte-coreanos passaram a extorquir empresas, ameaçando divulgar dados roubados. Em alguns casos, informações sigilosas já foram publicadas online.