O Centro de Pesquisa Avançado da Trellix expôs uma operação de espionagem ligada à RPDC atribuída ao grupo Kimsuky (APT43), visando missões diplomáticas na Coréia do Sul.
Entre março e julho, pelo menos 19 e-mails de spear-phishing representavam contatos diplomáticos confiáveis, entregando malware por meio de arquivos ZIP protegidos por senha hospedados no Dropbox e Daum.
Esses e -mails atraíram a equipe da embaixada com convites credíveis para eventos como reuniões da UE, celebrações do Dia da Independência dos EUA e almoços militares, geralmente cronometrados para coincidir com atividades diplomáticas reais.
A campanha abusou do GitHub como um hub de comando e controle (C2), permitindo Exfiltração de dados e recuperação de carga útil sobre HTTPs para se misturar com tráfego legítimo.
Uma variante do Xenorat Remote Access Trojan forneceu aos atacantes controle completo do sistema, incluindo registro de pressionamento de tecla, captura de captura de tela e transferências de arquivos, facilitando a coleta de inteligência de sistemas comprometidos.
Cadeia de infecção em vários estágios
A infecção começou com E-mails de phishing de lança Contendo arquivos zip que abrigavam atalhos maliciosos do Windows (arquivos .lnk) disfarçados de PDFs.
Após a execução, eles desencadearam scripts ofuscados ofuscados ofuscados que baixaram cargas úteis codificadas por Base64 dos repositórios do GitHub, estabelecendo persistência por meio de tarefas programadas.
Reconnaissance Scripts Detalhes do sistema enumerados, como versão do OS, endereço IP e processos de execução, exfiltrando os dados do GitHub por meio de uploads de API em arquivos codificados por Base64.
Para C2, os invasores usaram repositórios privados como aqueles em contas “Blairity” e “Landjhon” para hospedar instruções em arquivos como “Onf.txt”, que instruiu as vítimas a xenorat cargas de xenorat hospedadas com o Core 1.6.0.
Essas cargas úteis, carregadas reflexivamente na memória após a manipulação do cabeçalho do GZIP, uma marca registrada das operações norte -coreanas garantiu a execução sem disco.
A análise de infraestrutura vinculou os IPs como 158.247.230.196 aos servidores Kimsuky conhecidos, com padrões de atividade mostrando operações de segunda a sexta-feira em +08: 00 fuzil, correlacionando-se com as férias chinesas, sugerindo operadores baseados na China, apesar da atribuição da DPRK.
Idéias defensivas
A atribuição aponta firmemente a Kimsuky, com sobreposições de táticas como iscas temáticas, uso de serviços coreanos e variantes Xenorat que correspondem a campanhas anteriores.
No entanto, pausas operacionais durante férias chinesas, como o Qingming Festival, indicam possível apoio ou base chinesa.
De acordo com o relatórioA campanha mapeia as técnicas de miter ATT e CK, incluindo T1566.001 (Anexo Spearphishing), T1059.001 (execução do PowerShell) e T1567.002 (Exfiltração sobre Serviço da Web).
Detecções de Trellix em produtos como assinaturas de sinalizador de segurança do endpoint, como lnk/downloader.zrd e xenorat/empacotado.a.
A operação permanece ativa, destacando a necessidade de segurança de email aprimorada, monitoramento do GitHub e detecção de anomalia em redes diplomáticas para combater essas ameaças patrocinadas pelo Estado.
Indicadores -chave de compromisso (IOCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash de arquivo (SHA256) | 1E10203174FB1FCFB47BBB00CAC2FE6FFE660660839B7A2F53D8C0892845B0029 | Diplomacy Journal Zip |
| Hash de arquivo (SHA256) | CF2CBA1859B2DF4E927B8D52C630CE7AB6700BABF9C7B4030F8243981B1A04FA | Zip de convite da embaixada nos EUA |
| IP: porta | 141.164.40.239:443 | Xenorat C2 |
| Url | https://dl.dropbox.com/scl/fi/sb19vssslj13wdknskwuou/eula.rtf?… | URL da carga útil |
| protocol.emb.2025@gmail.com | USBASSY LURE remetente |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!