20/08/25
За период с марта по июль было зафиксировано как минимум 19 атак с применением фишинговых писем, в которых злоумышленники, связанные с КНДР, маскировались под дипломатов и рассылали правдоподобные приглашения на встречи, официальные письма и уведомления о мероприятиях.
Главной особенностью кампании стало использование GitHub в качестве скрытого канала управления заражёнными системами. Для доставки вредоносных файлов применялись облачные сервисы вроде Dropbox и Daum, пишет Securitylab. В качестве основного инструмента использовалась модификация удалённого администратора XenoRAT, которая позволяла полностью контролировать рабочие станции жертв и собирать разведданные. Анализ инфраструктуры показал прямую связь с операциями группы Kimsuky, давно известной своей шпионской активностью в интересах Северной Кореи.
Атака строилась многоэтапно. На первом этапе сотрудники посольств получали письма с архивами, защищёнными паролями, якобы для сохранения конфиденциальности. Внутри находился ярлык с двойным расширением и иконкой PDF-документа. При запуске такой файл активировал PowerShell-скрипт , загружавший полезную нагрузку с GitHub и закреплявший её в системе через задания планировщика. Далее происходил сбор информации о компьютере и загрузка собранных данных на GitHub через API. Для маскировки злоумышленники использовали обычный HTTPS-трафик к доменам GitHub, что усложняло обнаружение.
Отдельное внимание заслуживает методика извлечения финального модуля. После загрузки с Dropbox вредоносный файл имел подменённый заголовок GZIP и маскировался под безобидный документ. Скрипт исправлял первые байты и распаковывал полезную нагрузку в оперативной памяти. Конечным этапом становилась активация XenoRAT, снабжённого средствами скрытой работы, возможностями кражи учётных данных, записи нажатий клавиш, перехвата изображений с экрана и камеры, а также управления файлами.
Ложные письма рассылались волнами. В марте 2025 года наблюдались первые тестовые попытки с нейтральными темами. В мае кампания вышла на пик активности: к дипломатам разных стран направляли приглашения на «политические встречи» и празднование Дня независимости США. В конце мая злоумышленники использовали приманку от имени редакции фиктивного журнала Diplomacy Journal с запросом интервью. В июне и июле тематика сместилась на военные и двусторонние контакты, а последняя атака была зафиксирована 28 июля с письмом от имени польского посла.
Для повышения правдоподобия операторы создали более 50 фальшивых документов на разных языках, включая корейский, английский, персидский, арабский, французский и русский. Среди приманок были приглашения на конференции, официальные ноты и даже анкеты для поступления в международные школы. Большинство из них не содержало вредоносного кода, а служило отвлекающей маской, чтобы жертва поверила в реальность переписки.
Инфраструктура кампании включала несколько аккаунтов GitHub («blairity», «landjhon»), где поддерживались десятки репозиториев с тематическими названиями. Для доставки почты использовались корейские сервисы Hanmail и Daum, а также VPS в Сеуле. При анализе установлено, что злоумышленники работали в изолированных виртуальных средах Windows 11 и Server 2022, применяли инструменты разработчиков и даже следили за процессами через встроенные средства Windows.
По данным Trellix, характер целей и техники говорит о прямой связи с Kimsuky, однако временные паузы в активности совпадали с китайскими праздниками, а рабочий ритм укладывался в типичные часы офисной занятости по времени Китая. Это позволяет предположить, что часть операций велась с территории КНР либо при поддержке китайских ресурсов, хотя мотивация и инструментарий указывают на северокорейское происхождение.
