Il gruppo di hacking noto come Kimsuky, legato alla Corea del Nord, è stato recentemente osservato mentre conduceva attacchi di spear-phishing per distribuire un malware noto come forceCopy. Questo attacco è stato documentato dal AhnLab Security Intelligence Center (ASEC). Gli attacchi iniziano con email di phishing contenenti un file di collegamento rapido di Windows (LNK), camuffato come un documento di Microsoft Office o PDF. Quando l'allegato viene aperto, viene eseguito un PowerShell o mshta.exe, un programma legittimo di Microsoft progettato per eseguire file di applicazioni HTML (HTA), responsabile di scaricare ed eseguire payload di fase successiva da una fonte esterna.

La compagnia di sicurezza informatica sudcoreana ha evidenziato che tali attacchi culminano nel rilascio di un trojan noto come PEBBLEDASH e di una versione personalizzata di un'utilità di Desktop Remoto open-source chiamata RDP Wrapper. Inoltre, come parte degli attacchi, viene distribuito un malware proxy che permette agli attori delle minacce di stabilire comunicazioni persistenti con una rete esterna tramite RDP.

Kimsuky è stato anche osservato utilizzare un keylogger basato su PowerShell per registrare le sequenze di tasti e un nuovo malware ladro, codename forceCopy, utilizzato per copiare file memorizzati in directory correlate ai browser web. Secondo ASEC, "tutti i percorsi in cui il malware è installato sono percorsi di installazione del browser web". Si presume che l'attore della minaccia stia cercando di bypassare le restrizioni in un ambiente specifico e rubare i file di configurazione dei browser web dove sono memorizzate le credenziali.

L'uso degli strumenti RDP Wrapper e dei proxy per prendere il controllo degli host infetti indica un cambiamento tattico per Kimsuky, che storicamente ha sfruttato backdoor personalizzate per questo scopo. Questo gruppo criminale, noto anche come APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 e Velvet Chollima, è affiliato con il Reconnaissance General Bureau (RGB), il principale servizio di intelligence estera della Corea del Nord.

Attivo almeno dal 2012, Kimsuky ha un record di orchestrazione di attacchi di ingegneria sociale su misura capaci di bypassare le protezioni di sicurezza delle email. Nel dicembre 2024, la compagnia di sicurezza Genians ha rivelato che il gruppo di hacking ha inviato messaggi di phishing provenienti da servizi russi per condurre il furto di credenziali.