As equipes norte-coreanas Kimsuky e Lazarus visam setores críticos com explorações de dia zero – Against Invaders

As equipes norte-coreanas Kimsuky e Lazarus visam setores críticos com explorações de dia zero - Against Invaders

Os dois grupos APT mais formidáveis ​​da Coreia do Norte, Kimsuky e Lazarus, estabeleceram uma estrutura operacional coordenada que combina a recolha de informações com o roubo de criptomoedas em grande escala.

De acordo com um estudo abrangente da Trend Micro análiseesta colaboração representa uma ameaça sem precedentes às infraestruturas críticas em todo o mundo, com ataques direcionados aos setores militar, financeiro, blockchain, energia e saúde nos Estados Unidos, na Coreia do Sul e em nações europeias.

O modelo operacional divide responsabilidades com precisão cirúrgica: Kimsuky funciona como o “espião digital”, realizando reconhecimento através de sofisticadas campanhas de phishing disfarçadas de colaborações acadêmicas, enquanto Lázaro opera como o “ATM cibernético”, aproveitando vulnerabilidades de dia zero para extrair criptomoedas e dados confidenciais.

Esta divisão do trabalho, coordenada através de infraestruturas partilhadas e canais de inteligência, permitiu ataques de escala e sofisticação sem precedentes em 2024-2025.

Um ataque recente a uma empresa sul-coreana de blockchain exemplifica essa metodologia dupla. O ataque começou quando Kimsuky enviou um convite falsificado para um “Simpósio Internacional de Segurança Blockchain” contendo um backdoor FPSpy incorporado em um documento formatado em HWP.

Após a execução, o malware implantou o keylogger KLogEXE, coletando credenciais de e-mail e dados de arquitetura de rede interna.

Esta informação foi imediatamente sincronizada com a infra-estrutura de ataque do Lazarus. Em poucos dias, o Lazarus explorou CVE-2024-38193, uma vulnerabilidade de escalonamento de privilégios do driver de acessibilidade do Windows, distribuindo arquivos de projeto Node.js maliciosos disfarçados de kits de ferramentas legítimos de código aberto.

A exploração concedeu privilégios no nível do SISTEMA, permitindo a implantação do backdoor InvisibleFerret.

Essa carga útil sofisticada incorporou recursos antidetecção por meio do malware Fudmodule para contornar sistemas de detecção e resposta de endpoint (EDR), enquanto as ferramentas BeaverTail extraíam dados privados chaves criptográficas e registros de transações.

O resultado foi catastrófico: US$ 32 milhões em criptomoedas foram transferidos em 48 horas, e a infraestrutura de segurança da empresa não conseguiu gerar nenhum alerta.

Posteriormente, ambas as organizações coordenaram operações de limpeza através de servidores partilhados de comando e controlo, utilizando infra-estruturas directamente ligadas ao ataque às instalações nucleares sul-coreanas em 2014.

Precisão, persistência e evasão

Kimsuky reconhecimento O arsenal agora vai além do phishing tradicional. O grupo emprega endereços de e-mail de professores universitários fabricados com uma “matriz de identidade acadêmica”, sites de conferências falsificados e resumos de documentos gerados por IA, alcançando uma taxa de sucesso de 72% em atingir instalações de exercícios militares conjuntos EUA-Coreia do Sul.

O recentemente identificado trojan de acesso remoto MoonPeak se disfarça como processos de atualização do sistema enquanto realiza monitoramento de tela, exfiltração de arquivos e execução arbitrária de comandos por meio de tráfego HTTP criptografado.

O Lazarus demonstra capacidades igualmente sofisticadas, particularmente na exploração da cadeia de abastecimento e no armamento de dia zero.

Além do CVE-2024-38193, o grupo implantou diversas vulnerabilidades não divulgadas visando infraestruturas críticas.

O comprometimento da cadeia de suprimentos 3CX em 2023 afetou dezenas de milhares de organizações, enquanto ferramentas de raspagem de memória direcionadas a praticantes de blockchain resultaram em mais de US$ 120 milhões em roubo de criptomoedas desde 2024.

Implicações Estratégicas

O momento dos ataques está correlacionado com eventos geopolíticos: Kimsuky concentrou esforços contra instalações de exercícios militares dos EUA e da Coreia do Sul em agosto de 2023, enquanto Lazarus intensificou as atividades de roubo de criptomoedas antes das votações de sanções da ONU em outubro de 2024.

Este padrão sugere que a afectação de recursos a nível estatal responde a pressões diplomáticas e económicas.

As organizações devem implementar defesas em várias camadas, incluindo implantação de carteira de hardware, protocolos de priorização CVE, compartilhamento de inteligência contra ameaças entre setores e correção contínua de vulnerabilidades.

O surgimento de operações cibernéticas coordenadas na Coreia do Norte sinaliza que estratégias defensivas isoladas são obsoletas. A colaboração abrangente e abrangente em todo o ecossistema é agora essencial para proteger infraestruturas críticas contra ameaças sofisticadas patrocinadas pelo Estado.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.