رصد باحثو الأمن السيبراني استهداف جهات تهديد مرتبطة بكوريا الشمالية لقطاعات Web3 والعملات الرقمية باستخدام برمجيات خبيثة طُورت بلغة البرمجة Nim، في إشارة إلى التكيف المستمر في تكتيكات هذه الجماعات.
بحسب تقرير صادر عن SentinelOne، يستخدم المهاجمون أسلوب حقن العمليات وتقنيات الاتصال عن بعد عبر بروتوكول WebSocket المشفر (wss)، وهو ما يُعد نادرًا في هجمات تستهدف نظام macOS. كما يعتمد البرنامج الخبيث على آلية بقاء مبتكرة تستغل إشارات SIGINT وSIGTERM لتفعيل الاستمرارية في حالة إيقاف البرنامج أو إعادة تشغيل النظام.
تُتابع SentinelOne هذه الأدوات تحت اسم “NimDoor”، وقد تم توثيق بعض تفاصيل الحملة من قبل جهات أخرى مثل Huntabil.IT وHuntress وValidin، لكن باختلافات في الحمولات البرمجية.
تعتمد سلاسل الهجوم على تكتيكات الهندسة الاجتماعية، إذ يقترب المهاجمون من الضحايا عبر منصات المراسلة مثل تيليجرام لترتيب اجتماع Zoom عبر Calendly، ثم يُرسل رابط وهمي عبر البريد الإلكتروني مع تعليمات لتحديث Zoom SDK. ويؤدي هذا إلى تنفيذ AppleScript يجلب مرحلة ثانية من الهجوم عبر خادم بعيد، مع إعادة توجيه الضحية لرابط Zoom شرعي على ما يبدو.
يؤدي البرنامج النصي إلى فك ضغط أرشيفات ZIP تحتوي على ملفات تنفذ برامج خبيثة لجمع المعلومات والحفاظ على البقاء في النظام. وتتضمن سلسلة العدوى محملًا بلغة ++C يُدعى InjectWithDyldArm64، يقوم بفك تشفير ملفي Target وtrojan1_arm64 ويحقن الثاني في الأول قبل استئناف تشغيله.
بعد الاتصال بالخادم، يستطيع البرنامج تنفيذ أوامر عشوائية، جمع معلومات عن النظام، وتغيير مسار العمل، مع إرسال النتائج إلى الجهة المهاجمة. يقوم trojan1_arm64 بتنزيل حمولة إضافية تشمل أدوات لسرقة بيانات الدخول من متصفحات مثل Arc وBrave وChrome وEdge وFirefox، إضافة إلى استخراج بيانات تطبيق تيليجرام.
كما تشمل الهجمات ملفات تنفيذية بلغة Nim تُطلق CoreKitAgent، وهو مكون يراقب محاولات المستخدم لإيقاف البرمجية الخبيثة، ويعيد تفعيلها تلقائيًا، مما يُكسب الهجوم صلابة ضد إجراءات الدفاع الأولية. ويرافق ذلك تشغيل AppleScript يتصل كل 30 ثانية بخوادم C2 مُشفرة، ويُرسل لقطات من العمليات الجارية وينفذ أوامر إضافية تُرسل إليه.
وأكد الباحثون أن قدرات لغة Nim تتيح للمهاجمين دمج سلوكيات معقدة في الملف التنفيذي بطريقة تُعقد من تحليل تدفق التحكم، حيث تتشابك شيفرة المبرمج مع كود وقت التشغيل حتى على مستوى الدوال.
استمرار حملة BabyShark وتكتيك ClickFix
في سياق موازٍ، كشفت شركة Genians الكورية الجنوبية عن استمرار مجموعة Kimsuky المرتبطة بكوريا الشمالية في استخدام أسلوب “ClickFix” ضمن حملة BabyShark، وهي حملة معروفة استهدفت خبراء الأمن القومي في كوريا الجنوبية منذ يناير 2025 عبر رسائل تصيّد انتحاليّة تتظاهر بأنها طلبات مقابلة من صحيفة اقتصادية ألمانية، وتتضمن أرشيفًا ضارًا من نوع RAR.
يتضمن الأرشيف ملف VBS يفتح مستند Google Docs مخادعًا، بينما ينفذ في الخلفية تعليمات برمجية لإنشاء آليات بقاء وجمع معلومات النظام. وفي مارس، استخدمت المجموعة نسخة معدّلة تنتحل شخصية مسؤول أميركي كبير في الأمن القومي، وتتضمن ملف PDF بأسئلة لاجتماع مفترض في كوريا الجنوبية.
وطُلب من الضحايا إدخال رمز تحقق لفتح مستند آمن، في تكرار تكتيكي لاستراتيجية ClickFix الأصلية، لكن هذه المرة عبر نسخ ولصق رمز بدلاً من النقر. وفي أبريل، وثقت Proofpoint نسخة أخرى تنتحل صفة دبلوماسي ياباني وتحث المستلمين على ترتيب لقاء مع السفير الياباني في واشنطن.
عند تنفيذ أمر PowerShell المخفي، يُفتح مستند Google Docs تمويهي في حين تُثبت الاتصالات الدائمة بالخادم وتُحمّل حمولات خبيثة إضافية. وظهرت نسخة أخرى من ClickFix عبر موقع إلكتروني مزيّف يروج لوظائف بحثية عسكرية، وعند نقر المستخدمين على الإعلانات، يُطلب منهم فتح نافذة “تشغيل” في ويندوز وإدخال أمر PowerShell.
الوصول العلني إلى بيانات ضحايا محتملين في كوريا الجنوبية
هذا الأمر يُثبّت Chrome Remote Desktop على الجهاز، مما يتيح تحكمًا عن بعد عبر SSH من خلال خادم C2 يحمل عنوان “kida.plusdocs.kro[.]kr”. كشفت Genians عن ثغرة كشف أدلة المجلدات في هذا الخادم، ما أتاح الوصول العلني إلى بيانات ضحايا محتملين في كوريا الجنوبية. واحتوى الخادم كذلك على عنوان IP صيني يسجّل ضغطات المفاتيح ويرتبط برابط Proton Drive يستضيف أرشيف ZIP يُستخدم لتثبيت برمجية BabyShark عبر سلسلة هجمات متعددة المراحل.
في يونيو، يُعتقد أن Kimsuky نشرت نسخة جديدة من ClickFix تستخدم صفحة تحقق زائفة من موقع Naver لنسخ أمر PowerShell يؤدي إلى تشغيل برنامج AutoIt لسرقة معلومات المستخدم. ووفق Genians، فإن حملة BabyShark تُعرف بسرعة تكيفها مع تقنيات الهجوم الحديثة، وتُظهر مرونة في توظيف الأساليب البرمجية المتاحة علنًا لأغراض خبيثة.
في الأسابيع الأخيرة، تم الربط بين Kimsuky وهجمات تصيّد تنكرت في هيئة مؤسسات أكاديمية واحتوت على ملفات HWP محمية بكلمة مرور، تضمنت كائن OLE خبيث يقوم، عند فتحه، بتشغيل سكربت PowerShell لإجراء استطلاع شامل للنظام وتثبيت برنامج AnyDesk للسيطرة الدائمة عن بعد.
تبدأ السلاسل برسائل بريدية تتضمن أرشيفات مضغوطة تحتوي على ملفات اختصار LNK
كما استخدمت المجموعة GitHub لنشر حصان طروادة مفتوح المصدر يُدعى Xeno RAT، من خلال رموز وصول خاصة (PATs) تسمح بتنزيل البرمجيات الخبيثة ورفع ملفات السجلات من الأنظمة المصابة. وتبدأ هذه السلاسل برسائل بريدية تتضمن أرشيفات مضغوطة تحتوي على ملفات اختصار LNK تقوم بتنزيل سكربت PowerShell يُشغّل مستندًا مموّهًا وينفذ Xeno RAT وأداة لسرقة المعلومات.
وسجلت أيضًا سلاسل هجمات أخرى تعتمد على أداة تنزيل قائمة على PowerShell تجلب ملفات بصيغة RTF من Dropbox لتشغيل Xeno RAT، وتبين أن هذه الحملات تشترك في البنية التحتية مع هجمات استهدفت بنسخة من Xeno RAT تُدعى MoonPeak.
بيّنت شركة ENKI أن الجهات المهاجمة لم تكتف بتوزيع البرمجيات الخبيثة، بل قامت أيضًا برفع ملفات سجلات الضحايا إلى مستودعات خاصة على GitHub باستخدام رموز PAT، في إشارة إلى الطبيعة المستمرة والمتطورة لعمليات Kimsuky، بما في ذلك استخدام GitHub وDropbox كجزء من بنيتها التحتية.
بحسب شركة NSFOCUS، تُعد Kimsuky من أكثر المجموعات الكورية الشمالية نشاطًا، إلى جانب Konni، وقد مثلت 5% من أنشطة التهديدات المتقدمة المستمرة (APT) المسجلة في مايو 2025، مقارنة بسيطرتها إلى جانب Sidewinder وKonni على أكثر الأنشطة رواجًا في أبريل الماضي.
