Kore Demokratik Halk Cumhuriyeti (diğer adıyla DPRK veya Kuzey Kore) ile bağları olan tehdit aktörleri, Beaverail ve InvisibleFerret adlı bilinen bir kötü amaçlı yazılım sunmak için ClickFix tarzı lürelerden yararlandılar.
Gitlab tehdit istihbarat araştırmacısı Oliver Smith, geçen hafta yayınlanan bir raporda, “Tehdit oyuncusu, yazılım geliştirme rollerini hedeflemek yerine kripto para birimi ve perakende sektörü kuruluşlarındaki pazarlama ve tüccar rollerini hedeflemek için ClickFix cazibesi kullandı.” Dedi.
İlk olarak Palo Alto Networks tarafından 2023’ün sonlarında maruz kalan Beaverail ve InvisibleFerret, Kuzey Koreli operatörler tarafından, kötü amaçlı yazılım geliştiricilerine bir iş değerlendirmesi öncüsü altında yazılım geliştiricilerine dağıtıldığı uzun süredir devam eden bir kampanyanın bir parçası olarak konuşlandırıldı. Şemsiye grubu Lazarus’un bir alt kümesi olarak değerlendirilen küme, en azından Aralık 2022’den beri aktif.
Yıllar boyunca Beaverail, sahte NPM paketleri ve FCCCALL ve FreeConference gibi sahte Windows video konferans uygulamaları aracılığıyla da yayıldı. JavaScript’te yazılan kötü amaçlı yazılım, InvisibleFerret olarak bilinen Python tabanlı bir arka kapı için bir bilgi çalma ve bir indirici görevi görür.
Kampanyanın önemli bir evrimi, tıklama plakası görüşmesi olarak izlenen bir aktivite alt kümesi olan Golangghost, Pylangghost ve FlexibleFerret gibi kötü amaçlı yazılımlar sunmak için ClickFix Sosyal Mühendislik taktikinin kullanılmasını içerir.
Mayıs 2025’in sonlarında gözlemlenen en son saldırı dalgası, iki nedenden dolayı vurgulamaya değer: Beaverail’i (Golangghost veya esneklik yerine) teslim etmek için ClickFix’i kullanma ve stealer’ı pencereler, macolar ve linux sistemleri için PKG ve Pyinstaller gibi araçlar kullanılarak üretilen derlenmiş bir ikili şeklinde teslim etmek.
Vercel kullanılarak oluşturulan sahte bir işe alım platformu web uygulaması, kötü amaçlı yazılım için bir dağıtım vektörü olarak hizmet eder, tehdit oyuncusu kripto para tüccarı, çeşitli Web3 kuruluşlarında satış ve pazarlama rolleri ile birlikte bir Web3 şirketine yatırım yapmaya çağırır.
Smith, “Tehdit oyuncunun pazarlama başvuru sahiplerini hedeflemesi ve bir perakende sektörü kuruluşunun taklit edilmesi, Beaverail distribütörlerinin yazılım geliştiricileri ve kripto para sektörüne her zamanki odaklanması göz önüne alındığında dikkat çekicidir.” Dedi.
Siteye inen kullanıcılar, genel IP adresleri yakalanmış ve kendilerinin bir video değerlendirmesini tamamlamaları talimatı verilen, bu noktada var olmayan bir mikrofon sorunu hakkında sahte bir teknik hata görüntülenir ve sorunu sözde bir şekilde ele almak için bir işletim sistemine özgü komuta istenir, bu da bir beavertail sürümünün bir kabuk komut dosyası veya görsel temel senaryo ile konuşlandırılmasına yol açar.
Gitlab, “Bu kampanyayla ilişkili Beaverail varyantı basitleştirilmiş bir bilgi çalma rutini içeriyor ve daha az tarayıcı uzantısı hedefliyor.” Dedi. “Varyant, diğer çağdaş Beavertail varyantlarında hedeflenen 22 yerine sadece sekiz tarayıcı uzantısını hedefliyor.”
Bir diğer önemli ihmal, Google Chrome dışındaki web tarayıcılarından veri çalmakla ilgili işlevlerin kaldırılmasıdır. Beaverail’in Windows sürümü, InvisibleFerret ile ilgili Python bağımlılıklarını yüklemek için kötü amaçlı yazılımlarla birlikte gönderilen şifre korumalı bir arşive dayanarak bulundu.
Şifre korumalı arşivler, çeşitli tehdit aktörlerinin bir süredir benimsediği oldukça yaygın bir teknik olsa da, yöntem ilk kez Beaverail ile bağlantılı olarak yük dağıtımında kullanılmıştır, bu da tehdit aktörlerinin saldırı zincirlerini aktif olarak rafine ettiğini gösterir.
Dahası, vahşi doğada ikincil eserlerin düşük yaygınlığı ve sosyal mühendislik incelikinin olmaması, kampanyanın sınırlı bir test olabileceğini ve ölçekte konuşlandırılması olası olmadığını göstermektedir.
Gitlab, “Kampanya, Kuzey Kore Beaverail operatörlerinin bir alt grubu için hafif bir taktiksel değişim öneriyor ve geleneksel yazılım geliştiricilerinin kripto para birimi ve perakende sektörlerinde pazarlama ve ticaret rollerini sürdürmeyi hedefleyen ötesine genişler.” Dedi. “Derlenmiş kötü amaçlı yazılım varyantlarına geçiş ve ClickFix tekniklerine sürekli güvenme, standart yazılım geliştirme araçları yüklü olmadan daha az teknik hedeflere ve sistemlere ulaşmak için operasyonel adaptasyon gösteriyor.”
Geliştirme, Sentinelone, Sentinellabs ve Validin’den ortak bir soruşturma olarak geliyor, Ocak ve Mart 2025 arasında Archlock, Robinhood ve Etoro gibi taklit edilen şirketler tarafından sahte kripto para birimi iş görüşmesi saldırılarında en az 230 kişinin hedeflendiğini buldu.
Bu kampanya esas olarak, güncelleme veya temel yardımcı programlar olarak gizlenmiş kötü amaçlı yazılımları dağıtmak için tasarlanmış BulaşmaDrop olarak adlandırılan kötü amaçlı node.js uygulamaları dağıtmak için ClickFix temalarını kullanmayı içeriyordu. Yük kurbanın işletim sistemine ve sistem mimarisine uyarlanmıştır. Ayrıca, etkilenen kişi sahte beceri değerlendirmesini başlattığında kurban faaliyetlerini kataloglayabilir ve bir e -posta uyarısını tetikleyebilir.
“Bu etkinlik […] Altyapılarıyla ilgili siber tehdit zekası (CTI) bilgilerini inceleyen tehdit aktörlerini içeriyordu.
Bu tür çabalardan çıkarılan bilgiler, kampanyalarının dayanıklılığını ve etkinliğini artırmak ve hizmet sağlayıcı yayından kaldırma işlemlerini takip eden yeni altyapı hızla dağıtmak için, mevcut altyapılarını güvence altına almak için geniş değişiklikler yapmak yerine operasyonlarını sürdürmek için yatırım yapmaya odaklanmaktadır.
Araştırmacılar, “Kampanyalarının ilgi çekici hedeflerdeki sürekli başarısı göz önüne alındığında, tehdit aktörlerinin mevcut varlıkları korumak yerine yeni altyapı dağıtmaları daha pragmatik ve etkili olabilir.” Dedi. “Merkezi olmayan komuta yapıları veya operasyonel kaynak kısıtlamaları gibi potansiyel iç faktörler, koordineli değişiklikleri hızla uygulama kapasitelerini kısıtlayabilir.”
Diyerek şöyle devam etti: “Operasyonel stratejileri, faaliyetlerini sürdürmek için yeni sağlanan altyapıyı kullanarak, hizmet sağlayıcıların yayından kaldırma çabaları nedeniyle kaybedilen altyapıyı hemen değiştirmeye öncelik veriyor gibi görünüyor.”
Kuzey Koreli bilgisayar korsanları, operasyonlarını ilerletmek için tehdit istihbaratını toplamaya çalışmaları konusunda uzun bir geçmişe sahiptir. Google ve Microsoft, 2021 gibi erken bir tarihte, Pyongyang destekli bilgisayar korsanlarının, istismarları çalmak için sahte bloglar ve sosyal medya hesapları ağı kullanarak güvenlik açığı araştırma ve geliştirme üzerinde çalışan güvenlik araştırmacılarını hedef aldığını açıkladı.
Daha sonra geçen yıl, Sentinelone, Kuzey Kore tehdit grubu tarafından özel olarak yazılmış bir arka kapı olan Rokrat’ı teslim etmek için Tuzaklar olarak sahte teknik raporlarla tehdit istihbarat raporlarını hedefleyen Scarcruft (AKA APT37) tarafından gerçekleştirilen bir kampanya konusunda uyardı.
Bununla birlikte, son Scarcruft kampanyaları, hedefleri özel VCD fidye yazılımı ile enfekte etmenin olağandışı adımını atarak, shillychino (aka Rustonotto) ve Fadestealer’ı içeren gelişen bir araç seti ile birlikte bir tür ayrılışa tanık oldu. Pas bazlı bir implant olan Chillychino, Haziran 2025’ten itibaren Tehdit Oyuncu Arsenaline yeni bir ektir. Aynı zamanda Windows sistemlerini hedeflemek için pas tabanlı bir kötü amaçlı yazılım kullanan APT37’nin ilk bilinen örneğidir.
Öte yandan Fadestealer, ilk olarak 2023’te tanımlanan bir gözetim aracıdır, bu da tuş vuruşlarını, ekran görüntülerini ve sesleri yakalamak, cihazları ve çıkarılabilir ortamları yakalamak ve parola korumalı RAR arşivleri aracılığıyla verileri eksfiltrat etmek için donanımlı bir gözetim aracıdır. Komut ve kontrol (C2) sunucusuyla iletişim için HTTP Post ve Base64 kodlamasını kullanır.
Zscaler tehdidi başına saldırı zinciri, pencereler kısayolları (LNK) içeren zip arşivlerini dağıtmak için mızrak-aktı mesajları veya daha sonra lansmanından sorumlu bir yük yükünü almak için C2 sunucusuna temas eden yardım dosyalarını (CHM) dağıtmak için mızrak-aktarma mesajlarını kullanmayı gerektirir.
S2W, “Fidye yazılımlarının keşfi, saf casusluk operasyonlarından finansal olarak motive olmuş ve potansiyel olarak yıkıcı faaliyetlere doğru önemli bir değişime işaret ediyor.” Dedi. “Bu evrim sadece işlevsel çeşitlendirmeyi değil, aynı zamanda grubun hedeflerinde daha geniş bir stratejik yeniden düzenlemeyi de vurgulamaktadır.”
Yeni Kimuky kampanyaları maruz kaldı
Bulgular ayrıca, muhtemelen bir ihlal geçirdiği iddia edilen Kuzey Kore’ye hizalanmış Kimuky (AKA APT43) hackleme grubu olarak geliyor, muhtemelen Hermit krallığı için çalışan bir Çin merkezli aktörün taktiklerini ve araçlarını (veya ticari üreticisini taklit eden bir operatörün), bunlardan biri Githube Hearities için kötü bir kampanyaya atfedildi, bunlardan biri Githube Heater’ı seçti ve iki farklı kampanyaya atıfta bulundu. Pessfiltration.
“Tehdit oyuncusu kötü niyetli bir LNK dosyasından yararlandı [present within ZIP archives] Bir GitHub deposundan ek PowerShell tabanlı komut dosyalarını indirmek ve yürütmek için, “S2W.
Depodan alınan PowerShell komut dosyası, son önyükleme süresi, sistem yapılandırması ve çalışma işlemleri dahil olmak üzere sistem meta verilerini toplamak için özelliklerle donatılmıştır; Bilgileri bir günlük dosyasına yazın; ve saldırgan kontrollü depoya yükleyin. Ayrıca, herhangi bir şüphe yaratmaktan kaçınmak için bir tuzak belgesi indirir.
Kötü niyetli amaçlar için güvenilir altyapının kullanılması göz önüne alındığında, kullanıcılara API.Github.com adresine trafiği izlemeleri ve kalıcılığı gösteren şüpheli planlanan görevlerin oluşturulması önerilir.
Kimuky ile bağlantılı olan ikinci kampanya, Openai’nin Chatgpt’in Güney Koreli savunmaya bağlı kuruluşlara ve araştırmacılar, insan hakları aktivistleri ve gazeteciler gibi Kuzey Kore işlerine odaklanan diğer bireylere karşı bir mızrak aktı kampanyasında DeepFake Askeri Kimlik Kartları Dövme ile kötüye kullanma ile ilgilidir.
Military ID DeepFake Decoy’u kullanan kimlik avı e-postaları, 12 ve 18 Haziran tarihleri arasında bir dizi ClickFix tabanlı kimlik avı kampanyalarının ardından, veri hırsızlığı ve uzaktan kumandaı kolaylaştıran kötü amaçlı yazılımların yolunu açarak gözlendi.
Çok aşamalı enfeksiyon zincirinin, geçen hafta yayınlanan bir raporda, saldırgan tarafından yayınlanan toplu dosya komutlarını çalıştırmak için harici bir sunucuya bağlanan bir otomatik komut dosyası dağıtmak için ClickFix benzeri CAPTCHA doğrulama sayfaları kullandığı bulundu.
Alternatif olarak, son saldırıların patlaması, şüphesiz kullanıcıları kimlik bilgisi hasat sayfalarına yönlendirmek için sahte e-posta mesajlarına da güveniyordu ve tıklandığında, bir LNK dosya içeren bir fermuarlı arşivi indiren, aynı zamanda, aynı zamanda Synthetic Imagation’ı indirmek için bir PowerShell komutunu indirmek için bir PowerShell komutunu indiren bir LNK dosyası indiren mesaj göndermeyi de güvendi.
“Bu, sanki askeri bağlı yetkililer için kimlik ihraç görevlerini yerine getiriyormuş gibi gizlenmiş olan Güney Koreli savunma ile ilgili bir kurumu taklit eden uygun bir saldırı olarak sınıflandırıldı.” Dedi. Diyerek şöyle devam etti: “Bu, Kimuky Group’un DeepFake Technology uygulamasını gösteren gerçek bir durum.”