Uma campanha atribuída ao grupo norte-coreano Kimsuky está mirando empresas farmacêuticas com um arquivo disfarçado de planilha Excel para instalar malware de forma silenciosa.
A operação usa como isca um suposto documento corporativo chamado “White Life Science ERP Specification”, apresentado como se fosse material legítimo de negócios.
O artefato malicioso, porém, não é uma planilha real. Trata-se de um arquivo .lnk, atalho do Windows, preparado para parecer exatamente um documento de Excel e induzir o funcionário a executá-lo acreditando se tratar de uma rotina administrativa comum.
Uma vez aberto, o arquivo inicia uma cadeia oculta de execução que aciona múltiplos componentes sem sinais visíveis imediatos para a vítima. De acordo com os pesquisadores, a infecção segue uma sequência que passa por LNK, XML, JavaScript e PowerShell. Esse encadeamento em várias etapas ajuda a esconder a atividade maliciosa e dificulta a detecção em um único ponto da cadeia.
O alvo escolhido amplia a gravidade do caso. Empresas farmacêuticas concentram pesquisas, fórmulas proprietárias, documentação regulatória e, em alguns casos, informações de pacientes e estudos clínicos. Um acesso persistente nesse tipo de ambiente pode ser usado tanto para espionagem quanto para monitoramento prolongado de comunicações e projetos internos.
A campanha também sugere um refinamento no repertório do Kimsuky, historicamente ligado a ataques contra governo, academia e pesquisa. Ao usar uma identidade visual compatível com o setor e um suposto documento de ERP, os operadores aumentam a credibilidade da armadilha sem depender de técnicas excessivamente barulhentas.
Para as empresas do segmento, o episódio reforça a necessidade de bloquear ou restringir execução de atalhos suspeitos, monitorar cadeias que envolvam PowerShell e revisar treinamentos internos para documentos recebidos fora de fluxos esperados.
