Güney Kore’deki diplomatik görevleri hedefleyen sofistike bir casusluk kampanyası, Kuzey Kore devlet destekli hackerların gelişen taktiklerini ortaya çıkardı.
Mart ve Temmuz 2025 yılları arasında, kötü şöhretli Kimuky Grubu ile bağlantılı tehdit aktörleri, dünya çapında büyükelçiliklere karşı en az 19 mızrak avı saldırısı gerçekleştirerek operasyonel sofistike ve hedefleme kapsamlarında endişe verici bir artış gösterdi.
Kampanya, Kuzey Kore siber operasyonlarında önemli bir evrimi temsil ediyor, çünkü saldırganlar GitHub gibi meşru platformlardan, diplomatik ağlara kalıcı erişimi sürdürmek için Xenorat kötü amaçlı yazılımları dağıtırken gizli komut ve kontrol altyapısı olarak kullandı.
Operasyon, Batı, Orta, Doğu ve Güney Avrupa diplomatik görevlerinde Seul’de konuşlanmış ve geniş jeopolitik sonuçlarla koordineli bir istihbarat toplama çabasını gösteren büyükelçilik personelini hedefledi.
Trellix araştırmacıları, saldırı altyapısı ve kötü amaçlı yazılım örneklerinin kapsamlı analizi yoluyla kampanyayı belirlediler.
Soruşturma, tehdit aktörlerinin “Europa”, “Gulthe” ve “Themorning” gibi zararsız isimlerle birden fazla özel depo çalıştıran “Blairity” ve “Landjhon” en az iki GitHub hesabı oluşturduğunu ortaya koydu.
Bu depolar, tuzak belgelerini barındırmak, PowerShell komut dosyalarını yönetmek ve pespiltre edilmiş istihbarat verilerini toplamak için çok işlevli platformlar olarak hizmet etti.
.webp)
Saldırganlar, Koreli, İngilizce, Farsça, Arapça, Fransızca ve Rusça dahil olmak üzere birden fazla dili kapsayan 54 benzersiz PDF tuzak belgesini hazırlayarak sosyal mühendislik çabalarında ayrıntılara dikkat çekti.
Bu cazibeler meşru diplomatik yazışmalar, konferans davetiyeleri ve resmi büyükelçilik iletişimini taklit etti.
Özellikle sofistike bir örnek, elçilik personeline hitap edecek gerçekçi diplomatik biçimlendirme ve terminoloji ile tamamlanan “Parlamentolar Arası Konuşmacılar Konferansı’nın Kurucu Meclisi” ne sahte bir davet içeriyordu.
Gelişmiş enfeksiyon zinciri ve kalıcılık mekanizmaları
Xenorat dağıtım süreci, geleneksel güvenlik kontrollerini atlamak için tasarlanmış gelişmiş kaçırma tekniklerini sergilemektedir.
Enfeksiyon zinciri, PDF simgeleriyle gizlenmiş kötü niyetli LNK dosyaları ve “Accilgor.pdf.lnk” gibi acil harf ”gibi çift uzantılar içeren şifre korumalı zip arşivleri ile başlar.
.webp)
Yürütme üzerine, bu kısayollar ilk tabanını kuran PowerShell komutlarını tetikler.
Kötü amaçlı yazılım, Kuzey Kore operasyonlarında sürekli olarak gözlemlenen sofistike bir GZIP başlık manipülasyon tekniği kullanır.
PowerShell komut dosyası, bu kod modelinde gösterildiği gibi, dekompresyondan önce uygun GZIP sihir dizisi (0x1f8b08…) ile indirilen yüklerin ilk yedi baytının üzerine sistematik olarak yazar:
$bytes = [System.IO.File]::ReadAllBytes($path)
$bytes[0] = 0x1F; $bytes[1] = 0x8B; $bytes[2] = 0x08
[System.IO.File]::WriteAllBytes($path, $bytes)Confuser Core 1.6.0 kullanılarak gizlenen son Xenorat yükü, .NET yansıması yoluyla tamamen bellekte yürütülür ve yürütülebilir dosyaların diske dokunmasını sağlamaz.
Kötü amaçlı yazılım, tuş vuruşu günlüğü, ekran görüntüsü yakalama ve uzak kabuk özellikleri yoluyla kapsamlı sistem kontrolü sağlarken planlanan görevler yoluyla kalıcılık oluşturur.
Veri eksfiltrasyonu, zaman damgalı dosya adlarında biçimlendirilmiş ve şanzımandan önce Base64 kodlu çalınan bilgiler ile sert kodlanmış kişisel erişim belirteçleri kullanılarak GitHub API yüklemeleri yoluyla gerçekleşir.
Bu kampanya, Kuzey Kore siber operasyonlarının artan karmaşıklığını ve bunların casusluk faaliyetleri için güvenilir platformları kötüye kullanma istekliliğinin altını çizerek dünya çapında diplomatik güvenlik için önemli zorluklar sunmaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.