Kimsuky عامل تهدید کره شمالی، از تاکتیک جدید الهام گرفته از کمپینهای مهندسی اجتماعی ClickFix استفاده میکند، که شامل فریب اهداف جهت اجرای PowerShell به عنوان ادمین و سپس دستور دادن به آنها برای paste و اجرای کدهای مخرب ارائه شده میباشد.
تیم Microsoft Threat Intelligence گفت: Kimsuky (معروف به ‘Emerald Sleet’ or ‘Velvet Chollima’) از طریق پیامهای خطای فریبنده یا درخواستهایی که قربانیان را هدایت میکند تا خودشان کدهای مخرب را از طریق دستورات پاورشل اجرا کنند، اقدام به ایجاد آلودگی بدافزار میکند. در واقع تحت عنوان مقام دولتی کره جنوبی و ارسال ایمیل فیشینگ نیزهای همراه با پیوست PDF، به تدریج با یک هدف ارتباط برقرار میشود. اهداف برای خواندن PDF به یک لینک ثبت جعلی دستگاه هدایت میشوند که به آنها دستور میدهد پاورشل را به عنوان ادمین اجرا و کد ارائه شده را جایگذاری کنند. این امر در ادامه، امکان دسترسی به دستگاه و استخراج دادهها را برای عامل تهدید فراهم میسازد.
https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/
https://thehackernews.com/2025/02/north-korean-hackers-exploit-powershell.html
