Севернокорейски хакерски групи са свързани с мащабна шпионска операция, насочена към дипломатически представителства в Южна Корея между март и юли 2025 г., съобщават изследователи от Trellix.

Кампанията е включвала поне 19 целеви фишинг имейла, които са се представяли за легитимни дипломатически контакти, примамвайки служители на посолства и министерства с покани за срещи, официални писма и документи.

Как са действали атакуващите

• Имейлите били писани на шест езика (корейски, английски, персийски, арабски, френски и руски).

• В много случаи са съдържали подправени подписи и дипломатическа терминология, за да изглеждат напълно автентични.

• Зловредните файлове се доставяли чрез Dropbox, Google Drive и Daum Cloud, прикрити като защитени ZIP архиви.

• Вътре се съдържал LNK файл, маскиран като PDF, който стартирал PowerShell скрипт и свързвал системата с GitHub, използван като скрит command-and-control канал.

Зловредният код изтеглял допълнителни пейлоуди като Xeno RAT (вариант MoonPeak), давайки на атакуващите пълен достъп до заразената машина.

Според Trellix, операторите поддържали бърза ротация на инфраструктурата – файлове в GitHub се обновявали дори по няколко пъти в рамките на час, за да разпространяват нови товари и едновременно да прикриват следите си.

Кой стои зад атаката?

Кампанията първоначално е приписана на севернокорейската група Kimsuky, известна със сходни тактики. Интересно обаче е, че:

• Времевият анализ на активността съвпада основно с китайска часова зона.

• Отчетена е тридневна пауза, съвпадаща с китайски национални празници, но не и с корейски.

• Това поражда няколко хипотези:

  1. Севернокорейски хакери, опериращи от територията на Китай

  2. Китайска APT операция, имитираща Kimsuky

  3. Съвместна дейност с използване на китайски ресурси за севернокорейски интереси

Паралелна схема: IT работници под прикритие

Разкритието идва на фона на нов доклад на CrowdStrike, според който над 320 компании са били инфилтрирани през последните 12 месеца от севернокорейци, представящи се за дистанционни IT специалисти. Това представлява увеличение от 220% спрямо предходната година.

Тази операция, известна като Famous Chollima и Jasper Sleet, включва:

• Използване на GenAI инструменти (Microsoft Copilot, VSCodium) за писане на код и създаване на реалистични автобиографии.

• Приложение на deepfake технологии при видео интервюта за работа.

• Управление на няколко работни позиции едновременно, често през „лаптоп ферми“ с дистанционен достъп чрез AnyDesk.

Според изследователите, това създава сериозен риск за компаниите, тъй като такива „служители“ могат да имат пряк достъп до вътрешни системи и да прехвърлят приходи към режима в Пхенян.