malware NimDoor

NimDoor su macOS: nel mirino delle APT nordcoreane l’ecosistema crypto e Web3

A cura di:Redazione Ore

Il malware NimDoor è una nuova minaccia individuata su macOS, impiegata da gruppi hacker nordcoreani per colpire aziende del settore Web3 e criptovalute. La notizia di questa campagna ha destato grande attenzione sia per il coinvolgimento diretto di asset crypto sia per l’elevato livello di sofisticazione tecnica della minaccia. Infatti, NimDoor rappresenta un salto di qualità nel toolkit offensivo nordcoreano: è un backdoor compilato nel linguaggio Nim (inusuale su macOS) e adotta tattiche avanzate di offuscamento e persistenza, rendendo l’analisi e il rilevamento particolarmente difficili.

La scelta di bersagli nel mondo Web3 riflette inoltre gli obiettivi finanziari dei gruppi APT della Corea del Nord, che negli ultimi anni hanno puntato sempre più ai furti di criptovalute per finanziare il regime. Basti pensare che il famigerato gruppo Lazarus è accusato di aver sottratto circa 1,5 miliardi di dollari da un exchange (Bybit) nel febbraio 2025, contribuendo al record di 1,34 miliardi di dollari rubati in criptovalute nel solo 2024.

Vettori d’attacco: social engineering e falso update Zoom

Gli attacchi NimDoor iniziano con tecniche di social engineering ben congegnate. Gli operatori nordcoreani si spacciano per contatti fidati su Telegram, convincendo le vittime a organizzare incontri su Calendly (un servizio di scheduling). Successivamente inviano via email un apparente link a una riunione Zoom, invitando l’utente ad eseguire uno script di aggiornamento Zoom SDK “necessario” prima della call. In realtà, il file scaricato – zoom_sdk_support.scpt – è un AppleScript malevolo travestito da aggiornamento.

Questo script è riempito con 10.000 righe vuote e contiene un refuso intenzionale (“Zook SDK Update” invece di “Zoom SDK Update”) per nascondere il codice maligno e sfuggire a controlli sommari. Le ultime righe dello script contattano un server di command-and-control (C2) all’indirizzo support.us05web-zoom[.]forum (scelto per somigliare al dominio legittimo di Zoom) e scaricano un secondo stage dell’infezione. I ricercatori hanno identificato vari domini paralleli con schema simile (us05web-zoom.pro, .cloud, etc.), segno di una campagna mirata più ampia con URL unici per ciascun target.

Il secondo stage avviato dall’AppleScript conduce al download di due file binari Mach-O (a e installer) nella directory temporanea del sistema, che danno il via a due catene di infezione parallele. Il primo eseguibile, chiamato a, è compilato in C++ e funge da loader: scrive sul disco un payload cifrato (netchk) e innesca una serie di operazioni di decrittazione e depistaggio che culminano nello scaricamento di script Bash finalizzati all’esfiltrazione di dati. Il secondo eseguibile, installer, è compilato in Nim e si occupa di stabilire la persistenza del malware nel sistema.

Installer infatti deposita altri due payload Nim (GoogIe LLC – con la “i” maiuscola ingannevole al posto della “L” minuscola – e CoreKitAgent), che servono a garantire l’accesso duraturo al Mac infetto e meccanismi di recupero in caso di riavvio o rimozione.

Caratteristiche tecniche di NimDoor: injection, comunicazioni cifrate e furto dati

Una delle caratteristiche più notevoli di NimDoor è l’uso di una tecnica di process injection raramente osservata su macOS. Il componente loader (InjectWithDyldArm64, identificato anche come a) lancia un processo benigno (Target) in stato sospeso e vi inietta in memoria il codice del payload trojan (trojan1_arm64), per poi riprendere l’esecuzione del processo infetto.

Questo approccio richiede privilegi speciali su macOS: infatti il malware dispone delle entitlements Apple dedicate al debugging e all’accesso ai task (com.apple.security.cs.debugger e com.apple.security.get-task-allow) per poter effettuare l’iniezione di codice. Dopo l’injection, NimDoor stabilisce una connessione con il suo server C2 usando wss (WebSocket sicuro su TLS) invece dei protocolli HTTP/S tradizionali.

L’uso di WebSocket cifrato su macOS è insolito e consente comunicazioni bidirezionali persistenti col C2, mascherate dal traffico HTTPS standard. Inoltre, i ricercatori hanno scoperto che NimDoor applica più livelli di cifratura (algoritmo RC4 combinato con encoding Base64 e chiavi differenti) ai messaggi scambiati, aggiungendo ulteriore offuscamento ai dati trasmessi.

Attraverso il canale C2, il malware può ricevere comandi da eseguire sul sistema della vittima (es. raccolta informazioni di sistema, esecuzione di comandi arbitrari, modifica della directory corrente, ecc.) e inviare indietro i risultati in formato JSON.

NimDoor dimostra anche capacità estese di furto dati. Una volta compromesso il sistema, vengono attivati script Bash dedicati all’esfiltrazione silenziosa di informazioni sensibili. In particolare, uno script denominato upl raccoglie credenziali e dati dai principali browser (Arc, Brave, Chrome, Edge, Firefox), copiandone elementi come cronologia, cookie e password. Lo script prende di mira anche file di sistema critici come il Keychain del Mac (es. il portachiavi di sistema e quello utente) e file di shell (.bash_history, .zsh_history).

Un secondo script, tlgrm, è specializzato nel trafugare i dati di Telegram, estraendo il database locale cifrato delle chat (postbox.db) insieme alla chiave di decrittazione salvata dall’app (file .tempkeyEncrypted). Questi archivi di dati vengono compressi e inviati ai server degli attacker (es. https [:] //dataupload [.] store/uploadfiles) per l’estrazione remota.

Complessivamente, NimDoor è in grado di sottrarre credenziali (password e chiavi) e informazioni riservate sia di sistema sia legate ad applicazioni crypto (come wallet o chat di trading), compromettendo seriamente la sicurezza operativa delle organizzazioni colpite.

Meccanismi di persistenza ed evasione

Per garantirsi un foothold persistente nel sistema, NimDoor adotta una tecnica ingegnosa e poco comune: utilizza signal handlers personalizzati per i segnali di terminazione SIGINT e SIGTERM su macOS. In pratica, i componenti Nim-based del malware (come CoreKitAgent) rimangono in ascolto di eventuali tentativi di terminazione del processo maligno da parte dell’utente o del sistema. Se qualcuno prova a forzare la chiusura del malware o al riavvio della macchina, i gestori di segnale intervengono per reinstallare o riavviare i componenti di persistenza, assicurando che NimDoor torni in esecuzione immediatamente.

Questo approccio “riflesso” fa sì che anche azioni di difesa manuale (come killare il processo) risultino inefficaci, poiché il malware si rigenera sfruttando la stessa interruzione come trigger. Si tratta di un metodo di persistenza innovativo mai documentato prima su macOS.

Un altro aspetto evasivo della campagna è l’uso intensivo di AppleScript come strumento di post-exploitation. Oltre che nella fase iniziale di delivery, gli AppleScript vengono impiegati successivamente per funzioni di beaconing (contatto periodico col C2) e come backdoor leggere in memoria. Invece di installare un framework di post-compromissione pesante (che genererebbe segnali più evidenti ai sistemi di detection), gli attaccanti sfruttano AppleScript – nativamente supportato da macOS – per eseguire comandi e mantenere l’accesso, riducendo la propria visibilità all’interno del sistema.

Le comunicazioni continue al C2 avvengono ogni 30 secondi circa tramite tali script, inviando aggiornamenti (ad esempio elenco dei processi in esecuzione) e consentendo al server di iniettare ulteriori comandi da eseguire sul Mac compromesso.

Questa combinazione di living-off-the-land (uso di tool di sistema legittimi come AppleScript), canali cifrati inusuali (WebSocket TLS) e persistenza tramite segnali di sistema dimostra uno sforzo deliberato di evasione: i gruppi nordcoreani stanno investendo per bypassare le difese tradizionali, consapevoli che tecniche fuori dal comune possono eludere regole di sicurezza basate su pattern noti.

Implicazioni strategiche e conclusioni

La comparsa di NimDoor evidenzia la continua evoluzione delle minacce APT nordcoreane verso target finanziari globali e piattaforme meno convenzionali. Storicamente, gli hacker di Pyongyang inizialmente conducevano cyber-attacchi a scopo spionistico o distruttivo; ma dopo le sanzioni del 2016, hanno spostato il focus sul financial hacking, in particolare su exchange e aziende crypto, come mezzo per aggirare le sanzioni e procurarsi valuta pregiata.

Le operazioni di crypto-heist su larga scala sono divenute un vero modello di business per il regime, contribuendo a finanziare programmi strategici come quello missilistico e nucleare. In questo contesto, la campagna NimDoor – rivolta a startup Web3 e società di criptovalute – conferma che la Corea del Nord continua a innovare il proprio arsenale cibernetico per massimizzare i profitti illeciti. L’adozione del linguaggio Nim su macOS è indicativa: i threat actor nordcoreani avevano già sperimentato malware in Go e Rust in passato, combinandoli con script in attacchi multi-stadio, e ora replicano la strategia con Nim.

Linguaggi meno diffusi come Nim offrono vantaggi sia tecnici (funzionalità peculiari, come l’esecuzione di codice in fase di compilazione, che permettono di intrecciare logica malevola e codice runtime rendendo più arduo il reverse engineering) sia tattici, poiché risultano meno familiari agli analisti e agli strumenti di sicurezza comuni.

Per i professionisti della cybersecurity, NimDoor rappresenta un campanello d’allarme su più fronti. Primo, conferma che anche gli ambienti macOS – spesso percepiti come meno bersagliati rispetto a Windows – sono nel mirino di attori state-sponsored sofisticati, specie in settori ad alto valore economico come le criptovalute. Secondo, evidenzia la necessità di aggiornare costantemente le difese: quando le tattiche degli attaccanti si innovano (nuovi linguaggi, nuove tecniche di persistenza, canali di C2 alternativi), anche i defender devono adeguare strumenti e competenze. Gli esperti suggeriscono di investire tempo nell’analisi dei linguaggi emergenti e nelle relative tecniche offensive, perché il gioco del gatto e del topo tra attacker e defender è in continua evoluzione.

In definitiva, la minaccia NimDoor sottolinea l’importanza di un approccio proattivo: le organizzazioni nel campo Web3/Crypto dovrebbero potenziare il monitoraggio anche sui sistemi Mac, aggiornare le policy di awareness contro phishing mirati (come inviti a finte riunioni) e implementare controlli di sicurezza in grado di rilevare comportamenti anomali (es. process injection, uso improprio di AppleScript, traffico su canali insoliti). Solo così sarà possibile mitigare rischi avanzati come quelli posti da questa nuova famiglia di malware sponsorizzata da uno stato-nazione.

Fonti:

Condividi sui Social Network:

Ultimi Articoli