In un recente attacco cibernetico, il gruppo di hacker nordcoreani noto come Kimsuky ha adottato una nuova strategia per compromettere i dispositivi delle vittime. Questa tecnica implica l'uso di PowerShell, un potente strumento di scripting presente nei sistemi Windows. L'attacco prevede che gli hacker si spaccino per funzionari del governo sudcoreano per costruire un rapporto di fiducia con le vittime, prima di inviare loro un'email di phishing contenente un allegato PDF.

Le vittime, per visualizzare il documento PDF, vengono indotte a cliccare su un URL che mostra una serie di passaggi per registrare il loro sistema Windows. In particolare, viene richiesto loro di avviare PowerShell come amministratore e di incollare un frammento di codice dannoso, fornito dagli hacker, nel terminale. Questo codice malevolo scarica e installa uno strumento di desktop remoto basato su browser insieme a un file di certificato con un PIN predefinito da un server remoto.

Questa nuova tattica è stata osservata in attacchi limitati a partire da gennaio 2025 ed è stata descritta come una deviazione dalle tecniche tradizionali utilizzate dal gruppo. Gli hacker nordcoreani non sono nuovi a strategie di compromissione innovative. A dicembre 2024, un altro gruppo legato alla campagna Contagious Interview aveva ingannato gli utenti di Apple macOS a eseguire comandi malevoli tramite l'app Terminal.

Parallelamente, negli Stati Uniti

Il Dipartimento di Giustizia ha accusato una donna dell'Arizona per il suo ruolo in un complotto che ha permesso a hacker nordcoreani di ottenere posti di lavoro remoti in più di 300 aziende americane. Conosciuta come Christina Marie Chapman, la donna ha generato oltre 17,1 milioni di dollari di reddito illecito per se stessa e per la Corea del Nord, violando le sanzioni internazionali tra ottobre 2020 e ottobre 2023.

Chapman e i suoi complici hanno rubato le identità di cittadini statunitensi per richiedere posti di lavoro remoti nel settore IT, trasmettendo documenti falsi al Dipartimento della Sicurezza Nazionale. Il loro schema ha coinvolto anche l'uso di una "farm di laptop" presso la residenza di Chapman, per dare l'impressione che i lavoratori nordcoreani operassero dagli Stati Uniti, mentre in realtà erano situati in Cina e Russia.

Questi incidenti evidenziano l'evoluzione delle minacce cibernetiche e la necessità di rimanere vigili di fronte a tali sofisticati metodi di attacco.