Tin tặc có nguồn gốc từ Triều Tiên được gọi là Kimsuky có liên quan đến một loạt các cuộc tấn công lừa đảo liên quan đến việc gửi email có nguồn gốc từ địa chỉ người gửi của Nga để cuối cùng tiến hành đánh cắp thông tin xác thực.
Điều này đòi hỏi phải lạm dụng dịch vụ email Mail.ru của VK, hỗ trợ năm miền bí danh khác nhau, bao gồm mail.ru, internet.ru, bk.ru, inbox.ru và list.ru.
Genians cho biết họ đã quan sát thấy các diễn viên Kimsuky tận dụng tất cả các tên miền người gửi nói trên cho các chiến dịch lừa đảo giả mạo các tổ chức tài chính và cổng thông tin internet như Naver.
Các cuộc tấn công lừa đảo khác đã đòi hỏi phải gửi tin nhắn bắt chước dịch vụ lưu trữ đám mây MYBOX của Naver và nhằm mục đích lừa người dùng nhấp vào liên kết bằng cách gây ra cảm giác cấp bách sai lầm rằng các tệp độc hại đã được phát hiện trong tài khoản của họ và họ cần xóa chúng.
Các biến thể của email lừa đảo theo chủ đề MYBOX đã được ghi nhận kể từ cuối tháng 4/2024, với làn sóng đầu tiên sử dụng tên miền Nhật Bản, Hàn Quốc và Mỹ cho địa chỉ người gửi.
Trong khi những thư này bề ngoài được gửi từ các miền như "mmbox[.]ru" và "nCloud[.]ru", phân tích sâu hơn đã tiết lộ rằng tác nhân đe dọa đã tận dụng một máy chủ email bị xâm nhập thuộc Đại học Evangelia (evangelia [.]edu) để gửi tin nhắn bằng dịch vụ gửi thư dựa trên PHP có tên Star.
Điều đáng chú ý là việc Kimsuky sử dụng các công cụ email hợp pháp như PHPMailer và Star trước đó đã được công ty bảo mật doanh nghiệp Proofpoint ghi nhận vào tháng 11/2021.
Mục tiêu cuối cùng của các cuộc tấn công này, theo Genians, là thực hiện hành vi trộm cắp thông tin xác thực, sau đó có thể được sử dụng để chiếm đoạt tài khoản nạn nhân và sử dụng chúng để khởi động các cuộc tấn công tiếp theo chống lại các nhân viên hoặc người quen khác.
Trong những năm qua, Kimsuky đã chứng tỏ là thành thạo trong việc thực hiện các chiến dịch kỹ thuật xã hội theo định hướng email, sử dụng các kỹ thuật để giả mạo người gửi email xuất hiện như thể họ đến từ các bên đáng tin cậy, do đó trốn tránh kiểm tra bảo mật.
Đầu năm nay, chính phủ Hoa Kỳ đã chỉ trích tác nhân mạng vì đã khai thác "các chính sách ghi Xác thực, Báo cáo và Tuân thủ Tin nhắn Dựa trên Miền DNS (DMARC) được cấu hình không đúng cách để che giấu các nỗ lực kỹ thuật xã hội".