Descoberta de Kimsuky C2 Ativo Revela Toda a Cadeia de Ataque: CHM Dropper, VBScript Stager, PowerShell Keylogger

A Breakglass Intelligence recuperou a cadeia de ataque Kimsuky (APT43) completa de três estágios após a descoberta do C2 em check[.]nid-log[.]com com a listagem de diretórios ativada. Isso expôs um CHM dropper que encadeia hh.exe → PowerShell → certutil → wscript em um payload de reconhecimento VBScript sem arquivo (bootservice.php), uma ponte PowerShell (checkservice.php) e um keylogger completo com monitoramento de área de transferência e exfiltração randomizada de 100-140 minutos via multipart POST para finalservice.php.

Pela primeira vez, foram publicados dois novos endpoints (checkservice.php, finalservice.php), o mutex Global\AlreadyRunning19122345, User-Agents com erros de digitação (Chremo, Edgo) e um mapa de infraestrutura de 79 domínios em 5 IPs abrangendo DAOU Technology e LightNode, com links de campanhas cruzadas para o cluster udalyonka/uncork[.]biz previamente documentado. Defensores podem procurar por requisições HTTP para /bootservice.php?tag=&query=*, respostas contendo “Million OK !!!!”, tarefas agendadas chamadas “Edge Updater” em intervalos de 60 minutos (PT60M), e escritas de Office_Config.xml em %APPDATA%\Microsoft\Windows\Templates.