Tác nhân đe dọa liên quan đến Triều Tiên được gọi là Kimsuky có liên quan đến việc sử dụng tiện ích mở rộng Google Chrome độc hại mới được thiết kế để đánh cắp thông tin nhạy cảm như một phần của nỗ lực thu thập thông tin tình báo đang diễn ra.
Zscaler ThreatLabz, công ty đã quan sát hoạt động này vào đầu tháng 3/2024, đã đặt tên mã là tiện ích mở rộng TRANSLATEXT, nêu bật khả năng thu thập địa chỉ email, tên người dùng, mật khẩu, cookie và ảnh chụp màn hình trình duyệt.
Chiến dịch nhắm mục tiêu được cho là nhằm chống lại các học giả Hàn Quốc, đặc biệt là những người tập trung vào các vấn đề chính trị của Triều Tiên.
Kimsuky là một nhóm tin tặc khét tiếng đến từ Triều Tiên, được biết là hoạt động ít nhất từ năm 2012, dàn dựng các cuộc tấn công gián điệp mạng và có động cơ tài chính nhắm vào các thực thể Hàn Quốc.
Một nhóm chị em của cụm Lazarus và là một phần của Tổng cục Trinh sát (RGB), nó cũng được theo dõi dưới tên APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail và Velvet Chollima.
Trong những tuần gần đây, nhóm này đã vũ khí hóa một lỗ hổng bảo mật đã biết trong Microsoft Office (CVE-2017-11882) để phân phối keylogger và đã sử dụng mồi theo chủ đề công việc trong các cuộc tấn công nhằm vào lĩnh vực hàng không vũ trụ và quốc phòng với mục đích thả một công cụ gián điệp với các chức năng thu thập dữ liệu và thực thi tải trọng thứ cấp.
Phương thức truy cập ban đầu chính xác liên quan đến hoạt động mới được phát hiện hiện hiện chưa rõ ràng, mặc dù nhóm này được biết là tận dụng các cuộc tấn công lừa đảo và kỹ thuật xã hội để kích hoạt chuỗi lây nhiễm.
Điểm khởi đầu của cuộc tấn công là một kho lưu trữ ZIP có mục đích nói về lịch sử quân sự Hàn Quốc và chứa hai tệp: Tài liệu Bộ xử lý văn bản Hangul và tệp thực thi.
Khởi chạy tệp thực thi dẫn đến việc truy xuất tập lệnh PowerShell từ máy chủ do kẻ tấn công kiểm soát, do đó, xuất thông tin về nạn nhân bị xâm nhập vào kho lưu trữ GitHub và tải xuống mã PowerShell bổ sung bằng tệp lối tắt Windows (LNK).
Zscaler cho biết họ đã tìm thấy tài khoản GitHub, được tạo vào ngày 13 tháng 2 năm 2024, lưu trữ ngắn gọn tiện ích mở rộng TRANSLATEXT dưới tên "GoogleTranslate.crx", mặc dù phương thức phân phối của nó hiện chưa được biết.
TRANSLATEXT, giả mạo là Google Dịch, kết hợp mã JavaScript để vượt qua các biện pháp bảo mật cho các dịch vụ như Google, Kakao và Naver; siphon địa chỉ email, thông tin đăng nhập và cookie; chụp ảnh màn hình trình duyệt; và trích xuất dữ liệu bị đánh cắp.
Nó cũng được thiết kế để tìm nạp các lệnh từ URL Blogger Blogspot để chụp ảnh màn hình của các tab mới mở và xóa tất cả cookie khỏi trình duyệt, trong số những cookie khác.