O Kaspersky Lab — laboratório avançado de pesquisas de malware da empresa russa de mesmo nome, que atua na área de segurança digital — publicou nesta quinta-feira, 12, um relatório com detalhes sobre uma campanha ativa de espionagem virtual chamada Kimsuky. A campanha é direcionada a 11 organizações sediadas na Coreia do Sul e duas instituições na China.
Segundo os analistas técnicos da empresa, o Instituto Sejong, o Instituto Coreano de Análises de Defesa (KIDA, Korea Institute For Defense Analyses), o Ministério da Unificação da Coreia do Sul, a Hyundai Merchant Marine e os Partidários da Unificação Coreana (The supporters of Korean Unification) são alvos da ameaça virtual, que apresentou os primeiros sinais em 3 de abril. As amostras do Trojan Kimsuky surgiram em 5 de maio, diz o Kaspersky Lab, e o programa inclui vários erros básicos de codificação, manipulando a comunicação de entrada e saída das máquinas infectadas por meio do servidor de e-mail gratuito da Bulgária.
O mecanismo de distribuição inicial ainda é desconhecido, mas os pesquisadores acreditam que, provavelmente, o malware Kimsuky é disseminado por meio de e-mails de phishing, executando funções de espionagem como o keylogging — registro das teclas digitadas —, coleta e listagens de diretórios, acesso remoto e roubo de documentos HWP, relacionadas ao aplicativo de edição de texto sul-coreano do pacote Hancom Office, muito utilizado pelo governo. O aplicativo de acesso remoto TeamViewer é utilizado em versão modificada, atuando como backdoor para o furto de arquivos dos computadores infectados.
Invasores da Coreia do Norte são apontados como desenvolvedores do ataque. Mais detalhes sobre podem ser vistos no relatório completo da campanha do Kimsuky.
