Atores de ameaças norte-coreanos foram considerados responsáveis por uma campanha coordenada de ciberespionagem visando missões diplomáticas em seu contraparte do sul entre março e julho de 2025.
A atividade se manifestou na forma de pelo menos 19 e-mails de spear-phishing que se passavam por contatos diplomáticos confiáveis com o objetivo de atrair membros do corpo diplomático e pessoal do ministério das relações exteriores com convites convincentes para reuniões, cartas oficiais e convites para eventos.
"Os atacantes aproveitaram o GitHub, conhecido como uma plataforma legítima para desenvolvedores, como um canal oculto de comando e controle," disseram os pesquisadores da Trellix, Pham Duy Phuc e Alex Lanstein.
As cadeias de infecção foram observadas ao depender de soluções de armazenamento em nuvem confiáveis como Dropbox e Daum Cloud, um serviço online da conglomerada de internet sul-coreana Kakao Corporation, a fim de entregar uma variante de um remote access trojan de código aberto chamado Xeno RAT que permite aos atores da ameaça assumir o controle de sistemas comprometidos.
A campanha é avaliada como trabalho de um grupo de hacking norte-coreano chamado Kimsuky, que foi recentemente relacionado a ataques de phishing que usam o GitHub como um stager para um Xeno RAT conhecido como MoonPeak.
Apesar das sobreposições de infraestrutura e tática, existem indicações de que os ataques de phishing correspondem a operadores baseados na China.
As mensagens de e-mail, segundo a Trellix, são cuidadosamente elaboradas para parecerem legítimas, muitas vezes fingindo serem diplomatas ou oficiais reais, de modo a incentivar os destinatários a abrirem arquivos ZIP maliciosos protegidos por senha hospedados no Dropbox, Google Drive ou Daum.
As mensagens são escritas em coreano, inglês, persa, árabe, francês e russo.
"O conteúdo de spear-phishing foi cuidadosamente criado para imitar correspondências diplomáticas legítimas," disse a Trellix.
Muitos e-mails incluíam assinatura oficial, terminologia diplomática e referências a eventos reais (por exemplo, cúpulas, fóruns ou reuniões).
"Os atacantes se passaram por entidades confiáveis (embaixadas, ministérios, organizações internacionais), uma tática de longa data do Kimsuky.
Ao estrategicamente cronometrar iscas ao lado de acontecimentos diplomáticos reais, eles realçaram a credibilidade."
Presente no arquivo ZIP está um atalho do Windows (LNK) disfarçado de documento PDF, cuja execução resulta na ativação de código PowerShell que, por sua vez, executa um payload útil embutida, que se comunica com o GitHub para buscar malware de próxima fase e estabelece persistência por meio de tarefas agendadas.
Paralelamente, um documento de isca é exibido para as vítimas.
O script também é projetado para colher informações do sistema e exfiltrar os detalhes para um repositório privado do GitHub controlado pelo atacante, enquanto simultaneamente recupera payloads úteis adicionais ao analisar o conteúdo de um arquivo de texto ("onf.txt") no repositório para extrair a URL do Dropbox hospedando o trojan MoonPeak.
"Ao simplesmente atualizar o onf.txt no repositório (apontando para um novo arquivo no Dropbox), os operadores poderiam rotacionar payloads úteis para máquinas infectadas," explicou a Trellix.
Eles também praticaram uma 'rápida' rotação de infraestrutura: os dados de registro sugerem que o payload útil ofx.txt foi atualizada várias vezes em uma hora para implantar malware e para remover rastros após o uso.
Este rápido ciclo de atualização, combinado com o uso de infraestrutura em nuvem, ajudou as atividades maliciosas a passarem despercebidas.
Curiosamente, a análise temporal da atividade dos atacantes pela empresa de cibersegurança revelou que ela se origina, em grande parte, de um fuso horário consistente com a China, com uma menor proporção alinhando com o das Coreias.
Para aumentar a intriga, uma "pausa perfeita de 3 dias" foi observada coincidindo com feriados nacionais chineses no início de abril de 2025, mas não durante feriados na Coreia do Norte ou do Sul.
Isso levantou a possibilidade de que a campanha, espelhando a cadência operacional chinesa enquanto opera com motivos que se alinham com a Coreia do Norte, seja provavelmente o resultado de
- Operativos norte-coreanos trabalhando a partir do território chinês;
- Uma operação APT chinesa imitando técnicas do Kimsuky, ou;
- Um esforço colaborativo aproveitando recursos chineses para esforços de inteligência da Coreia do Norte.
Com atores de cibersegurança norte-coreanos frequentemente estacionados na China e na Rússia, como observado no caso do esquema de fraude de trabalhador de TI remoto, a Trellix disse com média confiança que os operadores estão operando da China ou são culturalmente chineses.
"O uso de serviços e infraestrutura coreanos foi provavelmente intencional para se misturar à rede sul-coreana," disse a Trellix.
"É uma característica conhecida do Kimsuky operar a partir de espaços IP chineses e russos enquanto visa a Coreia do Sul, muitas vezes usando serviços coreanos para mascarar seu tráfego como legítimo."
A divulgação vem à medida que a CrowdStrike revelou que identificou mais de 320 incidentes nos últimos 12 meses onde norte-coreanos se passando por trabalhadores de TI remotos infiltraram-se em empresas para gerar receita ilícita para o regime, um aumento de 220% em relação ao ano passado.
O esquema de trabalhador de TI, rastreado como Famous Chollima e Jasper Sleet, acredita-se que use assistentes de codificação com inteligência artificial generativa (GenAI) como o Microsoft Copilot ou VSCodium e ferramentas de tradução para ajudar com suas tarefas diárias e responder a mensagens instantâneas e e-mails.
Eles também provavelmente trabalham em três ou quatro empregos simultaneamente.
Um componente crucial dessas operações abrange recrutar pessoas para administrar fazendas de laptops, que incluem racks de laptops corporativos usados pelos norte-coreanos para trabalhar remotamente usando ferramentas como o AnyDesk como se estivessem fisicamente localizados no país onde as empresas estão baseadas.
"Trabalhadores de TI do Famous Chollima usam GenAI para criar currículos atraentes para empresas, supostamente usam tecnologia deepfake em tempo real para mascarar suas verdadeiras identidades em entrevistas em vídeo, e aproveitam ferramentas de código AI para auxiliar em suas funções de trabalho, o que representa um desafio substancial para as defesas de segurança tradicionais," disse a empresa.
Além disso, um vazamento de 1.389 endereços de e-mail ligados aos trabalhadores de TI revelou que 29 dos 63 provedores de serviço de e-mail únicos são ferramentas online que permitem aos usuários criar endereços de e-mail temporários ou descartáveis, enquanto outros seis estão relacionados a serviços focados em privacidade como Skiff, Proton Mail e SimpleLogin.
Quase 89% dos endereços de e-mail são contas Gmail.
"Todas as contas Gmail são protegidas usando Google Authenticator, 2FA e Recovery BackUp Email," disse o pesquisador de segurança Rakesh Krishnan.
Muitos nomes de usuário incluem termos como desenvolvedor, código, programador, tecnologia, software, indicando um foco em tecnologia ou programação.
Alguns desses endereços de e-mail estão presentes em um vazamento de banco de dados de usuários da ferramenta de edição de fotos com IA Cutout.Pro, sugerindo uso potencial do software para alterar imagens para perfis de redes sociais ou documentos de identificação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...