Uma campanha de espionagem patrocinada pelo Estado está mirando embaixadas estrangeiras na Coreia do Sul para implantar o malware XenoRAT a partir de repositórios maliciosos no GitHub.
Segundo pesquisadores da Trellix, a campanha está em andamento desde março e continua ativa, tendo lançado pelo menos 19 ataques de spearphishing contra alvos de alto valor.
Embora a infraestrutura e as técnicas correspondam ao playbook do ator norte-coreano Kimsuky (APT43), há sinais que melhor se alinham com operadores baseados na China, dizem os pesquisadores.
Os ataques se desenrolaram em três fases, cada uma com iscas de e-mail distintas entre o início de março e julho.
As sondagens iniciais começaram em março, com o primeiro e-mail descoberto mirando uma embaixada da Europa Central.
Em maio, o ator de ameaça mudou para o alvo diplomático com iscas mais complexas.
"No dia 13 de maio de 2025, um email para uma embaixada da Europa Ocidental fingia ser de um oficial de alta patente da delegação da UE sobre uma 'Reunião Consultiva Política na Delegação da UE em 14 de maio'", dizem os pesquisadores da Trellix.
Entre junho e julho, o adversário mudou para temas relacionados à aliança militar entre EUA e Coreia.
Os alvos eram geralmente embaixadas europeias em Seul e os temas incluíam convites para reuniões falsas, cartas oficiais e convites para eventos, muitas vezes enviados de diplomatas impostores.
As iscas eram altamente contextuais e multilíngues, escritas em coreano, inglês, persa, árabe, francês e russo.
Além disso, para tornar a campanha mais convincente, a maioria dos emails foi programada para coincidir com eventos reais.
Em todas as fases, o método de entrega permaneceu o mesmo, com o atacante entregando arquivos protegidos por senha (.ZIP) a partir do Dropbox, Google Drive ou serviços de armazenamento Daum, o que reduziria o risco de sistemas de proteção de email marcarem as mensagens.
Os arquivos continham um arquivo .LNK disfarçado de PDF.
Após a execução, ele dispara código PowerShell ofuscado que recupera o payload do XenoRAT a partir do GitHub ou Dropbox, garantindo sua persistência com tarefas agendadas.
XenoRAT é um trojan poderoso que pode registrar teclas digitadas, capturar screenshots, acessar a webcam e o microfone em computadores infectados, realizar transferências de arquivos e facilitar operações de shell remoto.
A Trellix observa que o XenoRAT é carregado diretamente na memória via reflection e é ofuscado com Confuser Core 1.6.0, então mantém uma presença furtiva nos sistemas violados.
A Trellix sublinha que esses ataques correspondem ao perfil da APT43 e usam técnicas típicas associadas ao grupo de ameaças da Coreia do Norte.
As pistas que apoiam esta conclusão incluem o uso de serviços de email coreanos, abuso do GitHub para comando e controle, e uso de um GUID exclusivo e mutex consistente com outras famílias de malware Kimsuky.
Além disso, os pesquisadores registraram IPs e domínios previamente vinculados a campanhas Kimsuky.
No entanto, a análise de fuso horário mostra que a maioria das atividades do atacante corresponde a um ator baseado na China, e o mesmo é refletido nas pausas de feriados, seguindo feriados nacionais chineses, enquanto não há uma correlação forte com feriados coreanos.
A Trellix conclui que a campanha é atribuída à APT43 com confiança média, hipotetizando algum tipo de patrocínio ou envolvimento chinês.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...