O grupo de ameaça apoiado pelo Estado norte-coreano, denominado Konni (Opal Sleet, TA406), foi observado visando entidades governamentais ucranianas em operações de coleta de informações.
Os atacantes utilizam e-mails de phishing que se passam por think tanks, mencionando eventos políticos importantes ou desenvolvimentos militares para atrair seus alvos.
Os pesquisadores da Proofpoint, que descobriram a atividade em fevereiro de 2025, sugerem que provavelmente é um esforço para apoiar o envolvimento militar da República Popular Democrática da Coreia (DPRK) ao lado da Rússia na Ucrânia e avaliar o status político subjacente ao conflito.
"A Proofpoint avalia que o TA406 está visando entidades governamentais ucranianas para entender melhor a disposição para continuar lutando contra a invasão russa e avaliar a perspectiva de médio prazo do conflito", explicam os pesquisadores.
A Coreia do Norte comprometeu tropas para ajudar a Rússia no outono de 2024, e o TA406 está, muito provavelmente, coletando inteligência para ajudar a liderança norte-coreana a determinar o risco atual para suas forças já presentes no teatro de operações, bem como a probabilidade de a Rússia solicitar mais tropas ou armamentos.
Os e-mails maliciosos enviados aos alvos se passam por membros de think tanks fictícios, lidando com questões chave como recentes demissões de líderes militares ou eleições presidenciais na Ucrânia.
Os atacantes usam serviços de freemail como Gmail, ProtonMail e Outlook para enviar mensagens repetidamente aos seus alvos, instando-os a clicar em um link.
Ao fazer isso, as vítimas são levadas a um download hospedado no MEGA que solta um arquivo .RAR protegido por senha (Analytical Report.rar) em seus sistemas, contendo um arquivo .CHM com o mesmo nome.
Abrir isso desencadeia o PowerShell embutido que baixa o próximo estágio do PowerShell, que captura informações de reconhecimento do host infectado e estabelece persistência.
A Proofpoint também viu variantes que empregam anexos HTML soltando arquivos ZIP contendo PDFs benignos e arquivos LNK maliciosos, levando à execução do PowerShell e VBScript.
A Proofpoint não conseguiu recuperar o payload final desses ataques, que se acredita ser algum tipo de malware/backdoor que facilita operações de espionagem.
Os pesquisadores também observaram que o Konni executou ataques preparatórios anteriormente, visando as mesmas pessoas e tentando coletar credenciais de contas que poderiam usar para sequestrar contas.
Essas tentativas envolveram e-mails falsificando alertas de segurança da Microsoft, alegando "atividade de login incomum" e pedindo ao destinatário para verificar seu login em um site de phishing no "jetmf[.]com."
O alvo da Coreia do Norte a entidades governamentais ucranianas adiciona uma nova dimensão ao já complexo campo de batalha cibernético do país, que tem sido dominado por ataques patrocinados pelo estado russo implacáveis desde o início da invasão.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...