Grupo Lazarus lidera menções globais de hacking enquanto ataques de spear phishing aumentam

De acordo com um relatório da empresa de segurança sul-coreana AhnLab, organizações de hackers ligadas ao estado como o Grupo Lazarus, apoiado pela Coreia do Norte, dependeram fortemente de spear phishing para roubar fundos e coletar inteligência nos últimos 12 meses. O grupo frequentemente se passou por organizadores de conferências, contatos de trabalho ou colegas para enganar pessoas a abrir arquivos ou executar comandos.

Grupo Lazarus: Spear Phishing Torna-se Mais Realista Com Iscas de IA

Relatórios revelaram que uma unidade conhecida como Kimsuky usou inteligência artificial para forjar imagens de identificação militar e colocá-las dentro de um arquivo ZIP para fazer as mensagens parecerem legítimas.

Pesquisadores de segurança dizem que as identificações falsas eram convincentes o suficiente para que os destinatários abrissem os anexos, que então executavam código oculto. O incidente foi rastreado até meados de julho de 2025 e parece marcar um avanço na forma como os atacantes criam suas iscas.

O objetivo é simples. Fazer com que um usuário confie numa mensagem, abra um arquivo, e o atacante consegue uma forma de entrar. Esse acesso pode levar a credenciais roubadas, malware implantado ou carteiras cripto esvaziadas. Os grupos ligados a Pyongyang têm sido associados a ataques contra alvos financeiros e de defesa, entre outros.

Vítimas do Grupo Lazarus Solicitadas a Executar Comandos

Algumas campanhas não dependiam apenas de exploits ocultos. Em vários casos, os alvos foram enganados para digitar comandos PowerShell eles mesmos, às vezes acreditando que estavam seguindo instruções oficiais.

Esse passo permite que os atacantes executem scripts com privilégios elevados sem precisar de um zero-day. Fontes de segurança alertaram que este truque social está se espalhando e pode ser difícil de detectar.

Grupo Lazarus: Tipos de Arquivos Antigos, Novos Truques

Os atacantes também abusaram de arquivos de atalho do Windows e formatos semelhantes para esconder comandos que são executados silenciosamente quando um arquivo é aberto. Pesquisadores documentaram quase 1.000 amostras maliciosas de .lnk ligadas a campanhas mais amplas, mostrando que tipos de arquivos familiares continuam sendo um método de entrega favorito. Esses atalhos podem executar argumentos ocultos e baixar cargas adicionais.

Por Que Isso Importa Agora

Isso torna os ataques mais difíceis de parar: mensagens personalizadas, visuais forjados por IA e truques que pedem aos usuários para executar código. Autenticação de Dois Fatores (2FA) e patches de software ajudam, mas treinar pessoas para tratar solicitações incomuns com suspeita continua sendo fundamental. Equipes de segurança defendem redes de segurança básicas: atualizar, verificar e, em caso de dúvida, verificar com um contato conhecido.

De acordo com relatórios, o Grupo Lazarus e Kimsuky continuam ativos. Lazarus, com base nas descobertas da AhnLab, recebeu o maior número de menções em análises pós-cibercrime nos últimos 12 meses. O grupo foi destacado por hacks motivados financeiramente, enquanto Kimsuky parece mais focado na coleta de inteligência e engano personalizado.

Imagem em destaque da Anadolu, gráfico da TradingView