Il gruppo di cyber criminali noto come Kimsuky, affiliato alla Corea del Nord, è stato associato a una serie di attacchi di phishing che prevedono l'invio di email provenienti da indirizzi russi per rubare credenziali. Secondo la società sudcoreana di sicurezza informatica Genians, fino a settembre, le email di phishing venivano inviate principalmente tramite servizi di posta elettronica giapponesi e coreani. Tuttavia, da metà settembre, sono state osservate email di phishing che sembravano provenire dalla Russia, sfruttando il servizio di posta elettronica di VK, Mail.ru. Questo servizio supporta cinque diversi domini alias: mail.ru, internet.ru, bk.ru, inbox.ru e list.ru.

**Osservazioni di Genians**

Genians ha osservato che i cyber criminali di Kimsuky utilizzano questi domini per campagne di phishing che si spacciano per istituzioni finanziarie e portali internet come Naver. Alcuni attacchi di phishing includono l'invio di messaggi che imitano il servizio di archiviazione cloud MYBOX di Naver, inducendo gli utenti a cliccare su link fasulli avvisandoli di file dannosi rilevati nei loro account, richiedendo un'azione immediata per eliminarli.

Le email di phishing a tema MYBOX sono state registrate a partire dalla fine di aprile 2024, con le prime ondate che utilizzavano domini giapponesi, coreani e statunitensi per gli indirizzi dei mittenti. Sebbene questi messaggi sembrassero provenire da domini come "mmbox[.]ru" e "ncloud[.]ru", un'analisi più approfondita ha rivelato che i criminali informatici hanno sfruttato un server di posta elettronica compromesso appartenente all'Università Evangelia (evangelia[.]edu) per inviare i messaggi utilizzando un servizio di posta basato su PHP chiamato Star.

**Strumenti e tecniche**

È importante notare che l'uso da parte di Kimsuky di strumenti di posta elettronica legittimi come PHPMailer e Star era stato documentato in precedenza dall'azienda di sicurezza Proofpoint nel novembre 2021. L'obiettivo finale di questi attacchi è il furto di credenziali, che possono essere utilizzate per dirottare gli account delle vittime e lanciare attacchi successivi contro altri dipendenti o conoscenti.

Nel corso degli anni, Kimsuky ha dimostrato di essere esperto nel condurre campagne di ingegneria sociale via email, utilizzando tecniche per falsificare i mittenti delle email per farli apparire come se provenissero da fonti affidabili, eludendo quindi i controlli di sicurezza. All'inizio di quest'anno, il governo degli Stati Uniti ha accusato questo attore cibernetico di sfruttare "configurazioni errate dei record DMARC (Domain-based Message Authentication, Reporting and Conformance) per nascondere i tentativi di ingegneria sociale."