Kuzey Kore tehdit aktörleri, Mart ve Temmuz 2025 yılları arasında güney muadillerinde diplomatik görevleri hedefleyen koordineli bir siber casusluk kampanyasına atfedildi.
Etkinlik, güvenilir diplomatik temasları, büyükelçilik personelini ve dışişleri bakanlığı personelini toplantı davetleri, resmi mektuplar ve etkinlik davetiyeleri ile taklit etmek amacıyla en az 19 mızrak aktı e-postası şeklinde kendini gösterdi.
Trellix araştırmacıları Pham Duy Phuc ve Alex Lanstein, “Saldırganlar, tipik olarak meşru bir geliştirici platformu olarak bilinen GitHub’ı gizli bir komut ve kontrol kanalı olarak kullandı.” Dedi.
Enfeksiyon zincirlerinin, tehlikeli sistemlerin kontrolünü ele geçirmek için tehdit aktörlerini sağlayan Xeno Rat adlı açık kaynaklı bir uzaktan erişim truva çeşidi sunmak için Güney Koreli İnternet konglomera Kakao Corporation’dan bir çevrimiçi hizmet olan Dropbox ve Daum Cloud gibi güvenilir bulut depolama çözümlerine dayandığı gözlemlenmiştir.
Kampanya, son zamanlarda Moonpeak olarak bilinen bir Xeno faresi için GitHub’ı kullanan kimlik avı saldırılarına bağlı olan Kimuky adlı bir Kuzey Koreli hack grubunun çalışması olarak değerlendiriliyor. Altyapı ve taktik örtüşmelerine rağmen, kimlik avı saldırılarının Çin merkezli operatörlerle eşleştiğine dair göstergeler var.
Trellix’e göre e-posta mesajları, alıcıları Dropbox, Google Drive veya Daum’da barındırılan şifre korumalı kötü amaçlı zip dosyaları açmaya ikna etmek için gerçek diplomatları veya yetkilileri tarayarak meşru görünmek için özenle hazırlanmıştır. Mesajlar Koreli, İngilizce, Farsça, Arapça, Fransızca ve Rusça yazılmıştır.
Trellix, “Mızrak-akma içeriği meşru diplomatik yazışmaları taklit etmek için özenle hazırlandı.” Dedi. “Birçok e -posta resmi imza, diplomatik terminoloji ve gerçek etkinliklere (örneğin, zirveler, forumlar veya toplantılar) referansları içeriyordu.”
“Saldırganlar, uzun süredir devam eden bir kimuky taktiği olan güvenilir varlıkları (büyükelçilikler, bakanlıklar, uluslararası kuruluşlar) taklit etti. Gerçek diplomatik olayların yanı sıra stratejik olarak zamanlanarak güvenilirliği artırdılar.”
ZIP arşivinde, bir PDF belgesi olarak maskelenen bir Windows kısayol (LNK), piyasaya sürülen PowerShell kodunun yürütülmesine neden olan ve sırayla, gelecek aşamalı kötü amaçlı yazılımları getirmek için Github’a ulaşan ve planlanmış görevler yoluyla kalıcılık oluşturan bir yükü çalıştıran bir yükü çalıştırır. Paralel olarak, kurbanlara bir tuzak belgesi görüntülenir.
Komut dosyası ayrıca sistem bilgilerini hasat etmek ve ayrıntıları saldırgan kontrollü özel GitHub deposuna yaymak için tasarlanmıştır, aynı zamanda moonpeak tenceresini barındıran damla kutusu url’sini çıkarmak için bir metin dosyasının (“onf.txt”) içeriğini ayrıştırarak ek yükleri alır.
Trellix, “Sadece depodaki onf.txt’i güncelleyerek (yeni bir Dropbox dosyasına işaret ederek), operatörler yükleri enfekte makinelere döndürebilir.”
“Ayrıca ‘hızlı’ altyapı rotasyonu uyguladılar: günlük verileri, OFX.txt yükünün kötü amaçlı yazılım dağıtmak ve kullanımdan sonra izleri kaldırmak için bir saat içinde birkaç kez güncellendiğini göstermektedir. Bu hızlı güncelleme döngüsü, bulut altyapısının kullanımı ile birleştiğinde, kötü niyetli faaliyetlerin radarın altında uçmasına yardımcı oldu.”
İlginç bir şekilde, siber güvenlik şirketinin saldırganların faaliyetine ilişkin zamana dayalı analizi, büyük ölçüde Çin ile tutarlı bir zaman diliminden kaynaklandığını ve daha küçük bir oran Koreas’ınkiyle uyumlu olduğunu buldu. Entrika eklemek için, Nisan 2025’in başlarında Çin ulusal tatilleriyle çakıştığı, ancak Kuzey veya Güney Kore tatillerinde “mükemmel bir 3 günlük duraklama” gözlendi.
Bu, Kuzey Kore ile uyumlu güdülerle faaliyet gösteren Çin operasyonel kadansını yansıtan kampanyanın muhtemelen –
- Çin topraklarından çalışan Kuzey Koreli operatörler
- KİSİK TEKNİKLERİ MİDİKLAYACAK Bir Çin APT Operasyonu veya
- Kuzey Kore istihbarat toplama çabaları için Çin kaynaklarından yararlanan işbirlikçi bir çaba
Uzaktan Bilgi Teknolojisi (BT) işçi sahtekarlığı planında gözlemlendiği gibi, Kuzey Kore siber aktörleri Çin ve Rusya’da sık sık konuşlandırıldığında, Trellix, operatörlerin Çin’den faaliyet gösterdiğini veya kültürel olarak Çince olduğunu orta güvenle söyledi.
Trellix, “Kore hizmetlerinin ve altyapının kullanımı Güney Kore ağına karışmak için kasıtlıydı.” Dedi. Diyerek şöyle devam etti: “Güney Kore’yi hedeflerken Çin ve Rus IP alanından faaliyet gösteren bilinen bir Kimuky özelliği, genellikle trafiklerini meşru olarak maskelemek için Kore hizmetlerini kullanıyor.”
N. Kore BT İşçisi 100’lere sızıyor
Açıklama, Crowdstrike’ın son 12 ayda 320’den fazla olay tespit ettiğini açıkladığı gibi, Kuzey Korelilerin uzak BT işçilerinin rejim için yasadışı gelir elde etmek için şirketlere sızdıkları, geçen yıla göre% 220 sıçrama.
Ünlü Chollima ve Jasper Sleet olarak izlenen BT İşçi şemasının, günlük görevlerine yardımcı olmak ve anlık mesajlara ve e -postalara yanıt vermek için Microsoft Copilot veya Vscodium ve çeviri araçları gibi üretken yapay zeka (GENAI) kodlama asistanlarını kullandığına inanılmaktadır. Ayrıca aynı anda üç veya dört işte çalışmaları muhtemeldir.
Bu operasyonların önemli bir bileşeni, insanları, şirketlerin dayandığı ülkede fiziksel olarak bulunmuş gibi anydesk gibi araçları kullanarak, işlerini uzaktan yapmak için kullanılan kurumsal dizüstü bilgisayar raflarını da içeren dizüstü bilgisayar çiftliklerini çalıştırmak için işe almayı kapsamaktadır.
Şirket, “Ünlü Chollima BT işçileri, şirketler için çekici özgeçmişler oluşturmak için Genai’yi kullanıyor, video görüşmelerindeki gerçek kimliklerini maskelemek için gerçek zamanlı derin peynir teknolojisi kullanıyor ve iş görevlerine yardımcı olmak için AI kod araçlarından yararlanıyor.
Dahası, BT çalışanlarına bağlı 1.389 e-posta adresi sızıntısı, 63 benzersiz e-posta servis sağlayıcısının 29’unun, kullanıcıların geçici veya tek kullanımlık e-posta adresleri oluşturmasına izin veren çevrimiçi araçlar olduğunu ortaya çıkardı, diğer altısı ise Skiff, Proton Mail ve Simpleelogin gibi gizlilik odaklı hizmetlerle ilişkilidir. E -posta adreslerinin yaklaşık% 89’u Gmail hesaplarıdır.
Güvenlik araştırmacısı Rakesh Krishnan, “Tüm Gmail hesapları Google Authenticator, 2FA ve kurtarma yedekleme e -postası kullanılarak korunuyor.” Dedi. “Birçok kullanıcı adı, bir teknoloji veya programlama odağı gösteren geliştirici, kod, kodlayıcı, teknoloji, yazılım gibi terimleri içerir.”
Bu e -posta adreslerinden bazıları, AI fotoğraf düzenleme aracı cutout.pro’nun kullanıcı veritabanı sızıntısında bulunur ve bu da sosyal medya profilleri veya kimlik belgeleri için görüntüleri değiştirmek için yazılımın potansiyel kullanımını önerir.