A campanha Larva-24005, atribuída ao grupo norte-coreano Kimsuky, reacendeu o alerta sobre a vulnerabilidade BlueKeep (CVE-2019-0708), descoberta e corrigida pela Microsoft em 2019, mas ainda amplamente explorada. Pesquisadores da AhnLab documentaram novos ataques que exploram falhas antigas no Serviço de Área de Trabalho Remota do Windows para obter acesso não autorizado a sistemas vulneráveis.
Leia também
20 firmas no desafio de criar computador quântico
Extensões levaram risco a 6M de usuários
O BlueKeep permite a execução remota de código sem autenticação, e mesmo após anos de sua divulgação, invasores continuam a encontrar sistemas desatualizados. Além disso, outra falha antiga — CVE-2017-11882, no Editor de Equações do Microsoft Office — também está sendo utilizada para invadir dispositivos por meio de e-mails maliciosos.
Após o comprometimento inicial, os hackers instalam o malware MySpy para mapear o ambiente e utilizam ferramentas como o RDPWrap para manter o acesso remoto. A fase final da operação inclui keyloggers (KimaLogger e RandomQuery) que capturam tudo o que é digitado, permitindo roubo de credenciais e coleta de informações sensíveis.
A maior parte dos ataques foi registrada na Coreia do Sul desde o final de 2023, mas o impacto se estendeu a países como Japão, EUA, China, Polônia e África do Sul. O uso contínuo de vulnerabilidades antigas evidencia falhas persistentes nas rotinas de atualização e na gestão de riscos digitais, reforçando a necessidade de políticas rigorosas de patching e segurança proativa.
