Kimsuky i phishing przez LNK oraz JSE

TL;DR

Kimsuky pokazuje, jak spear phishing wykorzystuje dokumenty dopasowane do roli odbiorcy. Według raportu Logpresso w pierwszej części 2026 roku obserwowano kampanie wymierzone w rekruterów, instytucje, użytkowników krypto, deweloperów, obronność, administrację i środowiska akademickie. Przynęty różniły się tematem, ale łańcuch był podobny: dokument przynęta, plik LNK lub JSE, ukryty payload, trwałość i komunikacja z C2.

LNK to skrót Windows, który może wyglądać jak dokument PDF, ale w rzeczywistości uruchamia polecenia. JSE to skrypt JavaScript Encoded, który może udawać dokument HWPX lub inny plik, jeśli użytkownik nie widzi prawdziwego rozszerzenia. W kampaniach opisywanych przez Logpresso pojawiały się także GitHub, Microsoft CDN, VSCode tunnels, scheduled tasks i dopasowywanie payloadu do ofiary.

Dla firm wniosek jest praktyczny: awareness musi być dopasowany do ról. Rekruter otwiera CV, finanse faktury, IT dokumentację techniczną, administracja pisma, a zarząd materiały strategiczne. Każda z tych ról ma własne przynęty i własne momenty decyzji.

Dlaczego dokument przynęta działa

W spear phishingu najważniejszy jest kontekst. Rekruter naprawdę otwiera CV. Osoba z działu HR naprawdę dostaje dokumenty kandydatów. Deweloper naprawdę czyta dokumentację techniczną. Osoba z administracji naprawdę obsługuje formularze, pisma i załączniki. Jeżeli przynęta pasuje do codziennej pracy, użytkownik ma mniej powodów do zatrzymania procesu.

Logpresso opisał kilka motywów: CV, wizytówki, dokumenty medyczne i ubezpieczeniowe, fałszywą dokumentację narzędzia bezpieczeństwa dla ekosystemu Solana, materiały związane z wojskową rywalizacją oraz dokumenty edukacyjne dla administracji. To nie są przypadkowe tematy. Każdy z nich pasuje do innej grupy odbiorców.

Właśnie dlatego phishing nie powinien być ćwiczony jedną generyczną wiadomością dla całej firmy. Ten sam test dla rekrutera, księgowej, administratora i specjalisty IT będzie miał różną wartość. Program awareness powinien odpowiadać na realne procesy, nie na abstrakcyjny przykład z podręcznika.

LNK jako fałszywy PDF

Pliki LNK są niebezpieczne, ponieważ użytkownik może widzieć ikonę lub nazwę sugerującą dokument, ale system uruchamia skrót z poleceniem. W kampaniach opisywanych przez Logpresso duże pliki LNK zawierały zarówno dokument przynętę, jak i ukryte elementy łańcucha ataku. Po uruchomieniu użytkownik widział wiarygodny dokument, a w tle następowało wypakowanie i uruchomienie payloadów.

To bardzo skuteczny wzorzec, bo ogranicza podejrzenia. Użytkownik kliknął i zobaczył dokument, więc zakłada, że wszystko jest w porządku. Nie widzi, że równolegle tworzony jest mechanizm trwałości, rejestrowane są zadania harmonogramu, wykonywany jest PowerShell albo uruchamiana jest komunikacja z C2.

Zespół bezpieczeństwa powinien traktować duże pliki LNK, pliki z podwójnymi rozszerzeniami i skróty otrzymane pocztą jako wysokie ryzyko. Dla użytkowników prosta zasada jest ważniejsza niż techniczny opis: skrót Windows nie jest normalnym formatem dokumentu do otwierania z maila.

JSE, VSCode tunnels i zaufane usługi

Jedna z kampanii opisywanych przez Logpresso wykorzystywała pliki JSE ukryte w archiwach ZIP i podszywające się pod dokumenty HWPX. Skrypty używały narzędzi wbudowanych w Windows, takich jak certutil i rundll32, a w innym wariancie korzystały z VSCode CLI i VSCode tunnels do trwałego zdalnego dostępu.

To ważny trend: atakujący coraz częściej nadużywają zaufanych narzędzi i usług. GitHub może wyglądać jak normalny ruch deweloperski. Microsoft CDN może wyglądać jak legalne pobranie. VSCode może być narzędziem pracy, ale tunel może dawać zdalny dostęp do urządzenia. Reputation-based detection może nie wystarczyć, jeśli złośliwy ruch miesza się z normalną aktywnością.

Dla polskich firm ma to znaczenie szczególnie w organizacjach z zespołami IT, software house, przemysłem, administracją, uczelniami i podmiotami współpracującymi międzynarodowo. Nie można blokować każdego narzędzia deweloperskiego bez analizy, ale trzeba wiedzieć, gdzie jest uzasadnione użycie, a gdzie nagły tunel z komputera administracyjnego powinien wywołać alarm.

Co powinien zrobić użytkownik

Jeżeli dokument przychodzi jako LNK, JSE, skrót, archiwum z podwójnym rozszerzeniem albo plik, który wymaga wykonania skryptu, użytkownik powinien przerwać proces. Dotyczy to nawet sytuacji, gdy temat brzmi wiarygodnie: CV, dokument rekrutacyjny, specyfikacja techniczna, projekt, oferta, formularz, szkolenie, dokument administracyjny lub plik od partnera.

Warto włączyć widoczność rozszerzeń plików w Windows, ale to nie rozwiązuje całego problemu. Użytkownik może nadal kliknąć, jeśli jest pod presją. Dlatego organizacja powinna dać mu prosty kanał weryfikacji: podejrzany dokument trafia do IT lub SOC, a nie do kolejnego pracownika z dopiskiem proszę otworzyć.

Jeżeli dokument dotyczy rekrutacji, HR powinien mieć procedurę bezpiecznej obsługi CV i portfolio. Jeżeli dotyczy deweloperów, trzeba określić, jak sprawdzać kod i narzędzia. Jeżeli dotyczy administracji, trzeba ustalić, jakie formaty dokumentów są akceptowane i kiedy wymagana jest weryfikacja.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik uruchomił plik LNK lub JSE, incydentu nie wolno sprowadzać do zwykłego kliknięcia. Trzeba sprawdzić procesy, zadania harmonogramu, folder Autostart, PowerShell, wscript, cscript, certutil, rundll32, curl, komunikację do GitHub raw, VSCode tunnels, nietypowe POST-y i połączenia do nieznanych adresów.

Endpoint powinien zostać przeanalizowany pod kątem trwałości, pobranych payloadów, zmian w Defenderze, wyłączenia UAC, wyjątków antywirusowych i ukrytych skryptów. W środowisku chmurowym trzeba sprawdzić także konta użytkownika, sesje, logowania i możliwe dalsze rozsyłanie wiadomości.

Jeżeli dokument był związany z rekrutacją, trzeba sprawdzić, czy podobne pliki trafiły do innych osób. Jeżeli dotyczył krypto lub deweloperów, trzeba zweryfikować klucze, tokeny, repozytoria i środowiska build. Jeżeli dotyczył obronności lub administracji, reakcja powinna uwzględniać ryzyko długoterminowej obserwacji, nie tylko jednorazowej infekcji.

Jak ćwiczyć ten scenariusz

Ten temat dobrze nadaje się do testów phishingowych dla firm, ale wymaga ostrożności. Symulacja nie powinna dostarczać realnego LNK ani JSE wykonującego polecenia. Może jednak pokazać podejrzany format, podwójne rozszerzenie, fałszywy dokument i mikrolekcję wyjaśniającą, dlaczego taki plik jest ryzykowny.

Warto mierzyć, kto otworzył wiadomość, kto kliknął załącznik, kto próbował pobrać archiwum, kto zgłosił dokument, jak szybko nastąpiło zgłoszenie i czy helpdesk potrafił właściwie zareagować. Różne działy powinny dostawać różne scenariusze, bo ich przynęty są inne.

Wniosek

Kimsuky przypomina, że załącznik nie jest bezpieczny tylko dlatego, że wygląda jak dokument. W spear phishingu wygląd dokumentu jest częścią maskowania, a prawdziwe działanie dzieje się po uruchomieniu skrótu, skryptu albo ukrytego payloadu.

Zasada dla organizacji jest konkretna: pracownicy powinni znać nie tylko definicję phishingu, ale też formaty, których nie wolno samodzielnie uruchamiać. LNK, JSE, podwójne rozszerzenia i archiwa z dokumentami wymagającymi wykonania skryptu powinny zatrzymywać proces, zanim atak stanie się trwałą obecnością w środowisku.