As operações cibernéticas ligadas ao regime norte-coreano seguem se expandindo com o lançamento de novas ferramentas maliciosas desenhadas para garantir acesso remoto e persistente a redes comprometidas. Duas campanhas distintas foram identificadas recentemente por equipes de threat intelligence, envolvendo grupos bem conhecidos: Kimsuky e Lazarus.
Essas campanhas evidenciam um padrão claro. A cada ciclo, os grupos refinam suas técnicas, investem em novas camadas de ofuscação e aumentam o nível de persistência em ambientes corporativos mesmo aqueles considerados mais protegidos. O objetivo continua sendo o mesmo: espionagem estratégica, com foco em vítimas de alto valor em diferentes países.
HttpTroy: nova arma do Kimsuky para espionagem direcionada
A operação atribuída ao Kimsuky teve como alvo uma única organização sul-coreana. O ataque começou com uma engenharia social bem estruturada. A vítima recebeu um arquivo ZIP que se apresentava como uma fatura legítima de serviço VPN, nomeada com termos relacionados a empresas locais e gestão de SSL VPNs.
Ao ser executado, o arquivo iniciava uma cadeia de infecção em três estágios. O primeiro componente era um dropper leve, escrito em Go, que incluía três arquivos embutidos.
Para manter a aparência de legitimidade, o dropper abria um PDF falso, enquanto em segundo plano extraía e executava os arquivos reais tudo isso usando uma criptografia XOR simples com chave 0x39.
Em seguida, era ativado o MemLoad_V3, um backdoor intermediário responsável por garantir persistência no sistema. Isso era feito por meio de uma tarefa agendada que imitava um atualizador da solução de antivírus AhnLab, bastante usada na Coreia do Sul.
O estágio final era o HttpTroy, um backdoor altamente funcional. Ele permitia upload e download de arquivos, captura de tela, execução de comandos com privilégios elevados, carregamento de executáveis diretamente na memória, criação de shells reversos e até finalização de processos ideal para apagar rastros. A comunicação com os servidores de controle acontecia via requisições HTTP POST, com dados ofuscados em duas camadas: criptografia XOR seguida de codificação Base64.
Lazarus atualiza o BLINDINGCAN e mira o Canadá
Enquanto isso, o grupo Lazarus conduziu uma campanha paralela visando alvos no Canadá. Nessa operação, foi identificada uma nova versão do já conhecido backdoor BLINDINGCAN, entregue após o uso de uma variante do malware Comebacker.
Apesar de os detalhes técnicos dessa campanha ainda estarem em análise, o movimento confirma o esforço contínuo do Lazarus em manter e aprimorar sua base de ferramentas. O grupo mostra consistência tanto na estrutura de seus ataques quanto na busca por sofisticar os mecanismos de evasão.
Tanto o BLINDINGCAN quanto o HttpTroy demonstram o uso intensivo de técnicas de ofuscação para dificultar análise forense e burlar soluções de segurança.
No caso do HttpTroy, o código traz funções personalizadas de hashing de API, reconstrução dinâmica de strings em tempo real e uso de instruções SIMD para ofuscar comportamento tudo para escapar de mecanismos de detecção estáticos e dinâmicos.
Alerta para o setor corporativo e governamental
As duas campanhas reforçam a necessidade de uma abordagem mais agressiva em defesa cibernética, especialmente contra ameaças persistentes patrocinadas por Estados.
Os especialistas recomendam redobrar a atenção com anexos inesperados especialmente arquivos .scr que se disfarçam de documentos, mas são executáveis, manter o software de segurança sempre atualizado com inteligência de ameaças recente, e investir em monitoramento comportamental capaz de detectar ações suspeitas mesmo após o comprometimento inicial.
A cada nova ferramenta descoberta, grupos como Kimsuky e Lazarus mostram que não estão apenas mantendo suas operações ativas, mas também evoluindo.
A espionagem cibernética norte-coreana se moderniza silenciosamente, exigindo das organizações-alvo uma vigilância constante e respostas cada vez mais especializadas.
