Siber güvenlik araştırmacıları, Rokrat olarak bilinen bir kötü amaçlı yazılım sunmak için Scarcruft (AKA APT37) adlı Kuzey Kore bağlantılı hack grubu tarafından üstlenilen yeni bir kimlik avı kampanyası keşfettiler.
Etkinlik, Seqrite Labs tarafından Hanok Phantom Operasyonu kodlandı, saldırıların akademik figürler, eski hükümet yetkilileri ve araştırmacılar da dahil olmak üzere Ulusal İstihbarat Araştırma Derneği ile ilişkili bireyleri hedeflediğini gösteriyor.
Güvenlik araştırmacısı Dixit Panchal, geçen hafta yayınlanan bir raporda, “Saldırganlar muhtemelen hassas bilgiler çalmayı, kalıcılık oluşturmayı veya casusluk yapmayı hedefliyor.” Dedi.
Saldırı zincirinin başlangıç noktası, ulusal istihbarat, iş ilişkileri, güvenlik ve enerji sorunlarına odaklanan bir Güney Koreli araştırma grubu tarafından yayınlanan periyodik bir bülten “Ulusal İstihbarat Araştırma Derneği bültenine-Suç 52” için bir cazibe içeren bir mızrak aktı e-postasıdır.
Dijital Missive, bir PDF belgesi olarak maskelenen bir Windows kısayolu (LNK) içeren bir Zip Arşivi eki içerir, bu da açıldığında, enfekte ana bilgisayarda rokrat bırakırken bültenini bir tuzak olarak başlatır.
Rokrat, sistem bilgilerini toplayabilen, keyfi komutlar yürütebilen, dosya sistemini numaralandırabilen, ekran görüntüleri yakalama ve ek yükler indirebilen ARPT37 ile ilişkili bilinen bir kötü amaçlı yazılımdır. Toplanan veriler Dropbox, Google Cloud, PCLOUD ve Yandex Cloud aracılığıyla açıklanır.
Seqrite, LNK dosyasının bir tuzak Microsoft Word belgesini bırakmanın yanı sıra, bir damlalık dağıtmaktan sorumlu olan gizli bir Windows toplu komut dosyası çalıştıran bir PowerShell komut dosyası için bir kanal görevi gördüğü ikinci bir kampanya tespit ettiğini söyledi. İkili daha sonra, ağ trafiğini bir Chrome dosya yüklemesi olarak gizlerken, tehlikeye atılan ana bilgisayardan hassas verileri çalmak için bir sonraki aşama yükü çalıştırır.
Bu örnekte kullanılan lure belgesi, Kore İşçi Partisi’nin tanıtım müdür yardımcısı ve bilgi departmanı ve 28 Temmuz tarihli Seul’in uzlaşma çabalarını reddettiği Kim Yo Jong tarafından yayınlanan bir açıklamadır.
Panchal, “Bu kampanyanın analizi, APT37’nin (Scarcruft/Inkysquid), kötü niyetli LNK yükleyicileri, filessiz Powershell infazından ve gizli eksfiltrasyon mekanizmalarından yararlanarak yüksek derecede uyarlanmış mızrak avcı saldırıları kullanmaya devam ettiğini vurgulamaktadır.” Dedi.
“Saldırganlar özellikle Güney Kore hükümet sektörlerini, araştırma kurumlarını ve akademisyenleri istihbarat toplama ve uzun vadeli casusluk hedefiyle hedefliyor.”
Geliştirme, iş arayanları bir video değerlendirmesi yaparken kamera veya mikrofon sorunlarını ele almak için iş arayanları kandırmak için ClickFix tarzı taktikler kullanarak, ünlü Lazarus Grubu (diğer adıyla Qianxin) tarafından monte edilen siber güvenlik şirketi Qianxin ayrıntılı saldırılar olarak geliyor. Bu etkinliğin ayrıntıları daha önce Temmuz 2025’in sonlarında Gen Digital tarafından açıklanmıştı.
ClickFix saldırısı, InvisibleFerret olarak adlandırılan Python tabanlı bir arka kapı da sağlayabilen bir JavaScript stealer olan Beaverail’in dağıtılmasına yol açan görsel bir temel komut dosyasının yürütülmesine neden olur. Ayrıca, saldırılar komut yürütme ve dosya okuma/yazma özelliklerine sahip bir arka kapıya yol açar.
Açıklama ayrıca, ABD Hazine Dış Varlıkları Bakanlığı tarafından (OFAC) iki kişiye ve iki kuruluşa karşı, Kuzey Kore Uzaktan Bilgi Teknolojisi (BT) işçi planındaki rolleri için, rejimin kitle tahribatı ve balistik füze programları silahları için yasadışı gelir elde etmek için getirdiği yeni yaptırımları da izlemektedir.
Chollima Grubu, geçen hafta yayınlanan bir raporda, Defitankland adı verilen bir blockchain oyundan yuvaya (P2E) oyununla bağlantılı olarak BabyLongroup olarak izlediği ay taşı susetine bağlı bir BT işçisi kümesiyle ilgili araştırmasını detaylandırdı.
Defitankland’ın sözde CTO’su Logan King’in aslında bir Kuzey Koreli BT çalışanı olduğu, King’s Github hesabının “Ivan Kovch” adlı bir Ukraynalı serbest çalışan ve blockchain geliştiricisi tarafından referans olarak kullanıldığı gerçeğiyle desteklenen bir hipotez olduğu değerlendirildi.
“Birçok üye daha önce ICICB (bir cephe olduğuna inandığımız) adlı gölgeli bir şirket adına büyük bir kripto para birimi projesi üzerinde çalışmıştı, kümenin DPRK olmayan üyelerinden birinin Çin siber suç piyasası serbestliği ve detankzon ile Tanzanya’dan daha önce faaliyet gösteren daha eski bir BT işçisi arasında ilginç bir bağlantı olduğunu söyledi.”
“Defitankland CEO’su Nabil Amrani daha önce Logan ile diğer blockchain projelerinde çalışmış olsa da, gelişimin hiçbirinden sorumlu olduğuna inanmıyoruz. Bu, Moonstone Sleet’in detankzonunun arkasındaki” meşru “oyunun aslında DPRK IT işçileri tarafından geliştirildiği anlamına geliyor, ancak daha sonra kuzey Koreli bir grup tarafından alındı ve kullanıldı.”