Северокорейская группа кибершпионажа Kimsuky (также известная как Black Banshee или Thallium) специализируется на атаках на южнокорейские правительственные организации, аналитические центры и частных лиц.
Группа устраивала кибератаки в США и Европе, с целью собрать разведданные о внешней политике, вопросах национальной безопасности, связанных с Корейским полуостровом, ядерной политике и санкциях.
Группировка использует для проникновения на компьютеры жертв файлы с расширением ISO и файлы с ярлыками (LNK).
На текущий момент группировка использует для приманки жертв файлы с именами "Модель эскалации северокорейского ядерного кризиса и детерминанты применения ядерного оружия", "Ядерная стратегия Северной Кореи раскрыта", "Легализации ядерных сил", "Факторы и типы применения Северной Кореей ядерного оружия". Эти файлы составляют часть большого файла с расширением Compiled HTML Help (CHM), который может быть доставлен на компьютер различными способами, чтобы обойти защиту антивируса и системы безопасности компьютера.
CHM - это формат онлайн-справки Microsoft, состоящий из набора HTML-страниц, рубрикатора и других инструментов навигации. Файлы сжимаются и разворачиваются в двоичном формате и часто используются для документации по программному обеспечению. Оказалось, что хакеры обнаружили, что этот формат можно использовать для доставки и исполнения вредоносного кода.
Этот метод позволяет злоумышленникам собирать базовую информацию о системе, имена компьютеров, данные об ОС, аппаратном обеспечении, запущенные процессы, последние файлы Word и список каталогов.