g0094-kimsuky - RunkIntel

# Kimsuky ## Visão Geral Kimsuky (também rastreado como APT43, Emerald Sleet e Springtail) e um grupo de espionagem cibernética patrocinado pelo Estado da **Coreia do Norte**, operado pelo Reconnaissance General Bureau (RGB). Ativo desde pelo menos 2012, o grupo especializou-se em **engenharia social altamente personalizada** e coleta de inteligência sobre politica externa, programas nucleares e sancoes internacionais relacionados a Peninsula Coreana. Em 2024-2025, Kimsuky demonstrou uma **significativa evolução tática**: - Adocao de **malware escrito em Go** (GoBear, Troll Stealer, Gomir) - mais dificil de detectar que versoes tradicionais - Uso de **GitHub como plataforma C2 encoberta** em campanhas contra embaixadas diplomaticas em 2025 - Campanha de **QR codes maliciosos** (quishing) para comprometer contas corporativas via dispositivos moveis - alerta conjunto FBI/CISA/NSA - Ataque a fabricante alemao de armas **Diehl Defence** em 2024 via falsas ofertas de emprego com contractors americanos de defesa - Implantação do stealer **forceCopy** via arquivos LNK para roubo de credenciais de browsers - Phishing partindo de **servicos de email russos** para dificultar rastreamento (dez 2024) **Também conhecido como:** Kimsuky, Black Banshee, Velvet Chollima, Emerald Sleet, THALLIUM, APT43, TA427, Springtail, Sparkling Pisces, SeedpuNK ## Campanhas Recentes (2024-2026) > [!danger] Campanha QR Code Quishing - 2025-2026 > FBI, CISA e NSA emitiram alerta conjunto sobre campanhas de spear-phishing com QR codes maliciosos. Os códigos redirecionam vitimas (especialmente em dispositivos moveis) para paginas falsas de Microsoft 365, Google Workspace e portais SSO para roubo de credenciais e tokens 2FA. Alvos: governos, academicos, think tanks e organizacoes de politica externa. > [!warning] Ataque a Diehl Defence - 2024 > Kimsuky atacou o fabricante alemao de armas Diehl Defence usando spear-phishing com falsas ofertas de emprego em contractors americanos de defesa, combinadas com arquivos PDF maliciosos. Demonstra expansao para alvos industriais europeus de alto valor. > [!info] forceCopy Stealer - Fevereiro 2025 > Nova campanha documentada pelo ASEC com arquivos LNK distribuindo o stealer [[forcecopy|forceCopy]], especializado em roubar credenciais de browsers. Acompanhado por [[pebbledash|PEBBLEDASH]] e RDP Wrapper para persistência via RDP - mudança tática em relacao ao uso tradicional de backdoors customizados. ### Timeline ```mermaid timeline title Kimsuky - Linha do Tempo 2012 : Primeiras atividades contra agencias governamentais sul-coreanas 2014 : Comprometimento Korea Hydro Nuclear Power Co 2018 : Operation STOLEN PENCIL 2019 : Operation Kabar Cobra e Smoke Screen 2023 : Kimsuky usa LLMs comerciais para suporte a operacoes 2024-Q1 : Malware Go-based - AlphaSeed BetaSeed GoBear Troll Stealer 2024-Q3 : Ataque a Diehl Defence Alemanha via fake job offers 2024-12 : Phishing partindo de servicos de email russos 2025-02 : forceCopy stealer via LNK - roubo de credenciais de browser 2025 : Campanha contra embaixadas usando GitHub como C2 furtivo 2025-2026 : QR code quishing - alerta FBI CISA NSA ``` ## Arsenal de Malware | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0622-appleseed\|AppleSeed]] | Backdoor Go | RAT principal - exfiltração via email | | [[s1197-gobear\|GoBear]] | Backdoor Go | Evoluido do AppleSeed - SOCKS5 proxy | | [[s1196-troll-stealer\|Troll Stealer]] | Infostealer Go | Roubo de dados do sistema e GPKI | | [[forcecopy\|forceCopy]] | Stealer | Roubo de credenciais de browsers via paths de instalacao | | [[pebbledash\|PEBBLEDASH]] | Backdoor | Acesso remoto persistente | | [[s0414-babyshark\|BabyShark]] | Infostealer | Coleta de credenciais via phishing | | [[alphaseed\|AlphaSeed]] | Backdoor Go | Variante AppleSeed em Go | | [[s1198-gomir\|Gomir]] | Backdoor Go | Variante Linux do GoBear | ## Attack Flow Operacional ```mermaid graph TB A["Reconhecimento OSINT - LinkedIn, email Pesquisa de alvo específico"] --> B["Engenharia Social Spear-phishing personalizado QR codes ou LNK/CHM/PDF"] B --> C["Execução PowerShell + mshta.exe T1059.001 + T1204.002"] C --> D["Persistência Registry Run Keys + RDP Wrapper T1547.001 + T1021.001"] D --> E["Coleta de Credenciais forceCopy - browser paths T1539 + T1005"] E --> F["Reconhecimento Profundo Captura de cookies + sessoes GitHub como C2 furtivo"] F --> G["Exfiltração Cloud storage ou email C2 T1567.002 + T1071.003"] style A fill:#1a5276,color:#fff style B fill:#e74c3c,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#8e44ad,color:#fff style F fill:#2980b9,color:#fff style G fill:#16a085,color:#fff ``` ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1566-phishing|T1566 - Phishing]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1078-003-local-accounts|T1078.003 - Local Accounts]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] - [[t1059-001-powershell|T1059.001 - PowerShell]] ## Software Utilizado - [[s0622-appleseed|AppleSeed]] - [[s1197-gobear|GoBear]] - [[s1196-troll-stealer|Troll Stealer]] - [[forcecopy|forceCopy]] - [[pebbledash|PEBBLEDASH]] - [[s0414-babyshark|BabyShark]] - [[alphaseed|AlphaSeed]] - [[s1198-gomir|Gomir]] - [[s0353-nokki|NOKKI]] - [[s0252-brave-prince|Brave Prince]] - [[s0527-cspy-downloader|CSPY Downloader]] ## Relevância para o Brasil e LATAM > [!warning] Risco Crescente para Alvos Diplomaticos e de Pesquisa > O Kimsuky nao tem foco direto documentado em alvos brasileiros. Contudo, a expansao das campanhas para embaixadas e organismos diplomaticos em paises nao-asiaticos (Europa, 2025) e a adocao de **QR codes maliciosos** que exploram dispositivos moveis indica um ator em processo de globalizacao de alvos. Organizacoes brasileiras em risco potencial: missoes diplomaticas com cobertura sobre a Peninsula Coreana, institutos de pesquisa nuclear e de energia, universidades com programas de relacoes internacionais e think tanks com análises geopoliticas asiaticas. A sofisticacao crescente com **malware em Go** (mais dificil de detectar) e o uso de **GitHub como C2** torna a detecção por ferramentas tradicionais desafiadora. Recomenda-se conscientizacao sobre QR codes em emails e monitoramento de comúnicacoes com GitHub em ambientes corporativos. ## Detecção > [!tip] Sinalizadores de Detecção > - Arquivos LNK ou CHM disparando processos PowerShell ou mshta.exe > - RDP Wrapper instalado em endpoints que nao requerem RDP externo > - Conexoes de saida para GitHub (api.github.com) em horarios incomuns > - Processos de browser acessando diretorios de instalacao de outros browsers (indicativo de forceCopy) > - Emails partindo de provedores russos (Yandex, Mail.ru) com arquivos PDF ou QR codes > - Binarios Go anonimos executados de diretorios temp ou AppData ## Referências [1](https://thehackernews.com/2025/02/north-korean-apt-kimsuky-uses-lnk-files.html) The Hacker News - Kimsuky forceCopy Stealer via LNK (Fev 2025) [2](https://www.rescana.com/post/fbi-cisa-and-nsa-warn-of-kimsuky-apt43-using-malicious-qr-codes-in-spear-phishing-attacks-target) Rescana - FBI/CISA/NSA Alert - QR Code Quishing Campaign (Ján 2026) [3](https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/) Rapid7 - Updated APT Playbook - Kimsuky CHM Files (Mar 2024) [4](https://ics-cert.kaspersky.com/publications/reports/2024/12/26/apt-and-financial-attackson-industrial-organizationsin-q3-2024/) Kaspersky ICS-CERT - Kimsuky Diehl Defence Attack (Dez 2024) [5](https://www.virusbulletin.com/uploads/pdf/conference/vb2024/papers/Go-ing-arsenal-a-closer-look-at-Kimsukys-Go-strategic-advancement.pdf) Virus Bulletin 2024 - Go Arsenal Analysis [6](https://attack.mitre.org/groups/G0094/) MITRE ATT&CK - G0094 Kimsuky