Een recent onderzoek van SentinelLABS onthult een aanvalscampagne waarbij Noord-Koreaanse dreigingsactoren gebruikmaken van Nim-gecompileerde malware om organisaties in de Web3- en cryptosector te compromitteren.
De malwarefamilie, die de onderzoekers NimDoor noemen, valt op door zijn technische complexiteit. En door de ongebruikelijke programmeertaalkeuzes.
In april 2025 werd een gerichte aanval op een Web3-startup waargenomen door Huntabil.IT. De aanval begon klassiek. Een aanvaller deed zich via Telegram voor als een betrouwbare contactpersoon en nodigde het slachtoffer uit via Calendly voor een Zoom-gesprek. Via een e-mail volgde een link naar een vermeende Zoom SDK-update. Die leidde echter naar een kwaadaardig AppleScript-bestand. Dit bestand was bewust gevuld met 10.000 lege regels om analyse te bemoeilijken. Het bevatte code die een script downloadde en uitvoerde vanaf een domein dat sterk leek op een legitieme Zoom-URL.
Deze initiële toegang resulteerde in de installatie van meerdere kwaadaardige componenten. Onder andere werd een Mach-O-bestand met de naam ‘a’ op het systeem geplaatst. Deze binary was geschreven in C++ en voerde versleutelde payloads uit die verder reikten dan eenvoudige gegevensverzameling. De ‘a’-binary voerde code-injectie uit – een techniek die zelden wordt gezien in macOS-malware – waarbij een andere binary, ‘trojan1_arm64’, werd geïnjecteerd in een zogenaamd onschuldig proces. Deze code communiceerde vervolgens via het beveiligde WebSocket-protocol (wss) met een command-and-control server, waarbij meerdere lagen van versleuteling werden toegepast.
Versleuteld configuratiebestand
Een belangrijk aspect van deze campagne is het gebruik van Nim-gecompileerde binaries zoals ‘installer’, ‘GoogIe LLC’ (waarbij de hoofdletter ‘i’ misleidend is gebruikt in plaats van een kleine ‘L’) en ‘CoreKitAgent’. De installer zorgt voor bestendigheid door LaunchAgents aan te maken die automatisch kwaadaardige processen opstarten bij het inloggen. GoogIe LLC verzamelt systeeminformatie en schrijft een versleuteld configuratiebestand dat later door CoreKitAgent wordt gelezen.
CoreKitAgent is het meest complexe onderdeel van de NimDoor-malware. Het werkt als een gebeurtenisgestuurde applicatie op basis van het kqueue-mechanisme van macOS. Wat deze binary uitzonderlijk maakt, is het vermogen om systeeminterrupties te onderscheppen. Wanneer een gebruiker probeert het proces te beëindigen via bijvoorbeeld Terminal, vangt CoreKitAgent dit signaal op (SIGINT of SIGTERM) en voert het onmiddellijk een herinstallatieprocedure uit. Hierdoor blijven de kwaadaardige componenten actief, zelfs na pogingen tot verwijdering.
Daarnaast decodeert CoreKitAgent een verborgen AppleScript dat elke 30 seconden uitgaand netwerkverkeer genereert richting hardcoded servers zoals writeup[.]live en safeup[.]store. Het script verzamelt informatie over actieve processen en voert opdrachten uit die het ontvangt van de server – waarmee het functioneert als een lichtgewicht achterdeur.
In de laatste fase van de aanval worden twee bash-scripts uitgevoerd: ‘upl’ en ‘tlgrm’. Het upl-script verzamelt browsergegevens (inclusief wachtwoorden), Keychain-bestanden en shellgeschiedenissen, en stuurt deze naar een centrale server. Tlgrm richt zich specifiek op de Telegram-database en bijbehorende versleutelingssleutel, vermoedelijk om privéberichten van slachtoffers te kunnen lezen of ontsleutelen.
De NimDoor-aanvalscampagne laat zien dat Noord-Koreaanse hackers hun gereedschapskist blijven uitbreiden. Door te kiezen voor minder bekende programmeertalen zoals Nim en technieken toe te passen die analisten nauwelijks zien in macOS-malware – zoals signaalgebaseerde persistentie en wss-communicatie – weten zij detectie te ontwijken en langdurige toegang tot systemen te behouden.