Между март и юли 2025 г. е разкрита мащабна кибершпионска кампания, насочена срещу дипломатически мисии в Южна Корея. Смята се, че зад атаките стоят севернокорейски хакери, свързани с групировката Kimsuky, известна със своите дългогодишни операции по фишинг и събиране на разузнавателна информация.
Как е протекла атаката?
Хакерите са изпратили поне 19 таргетирани имейла (spear-phishing), които изглеждали като истински съобщения от дипломати и официални лица. Те съдържали покани за срещи, официални писма и дори материали за международни форуми.
Съобщенията били написани на различни езици – корейски, английски, руски, френски, арабски и персийски – за да изглеждат още по-убедителни. Прикрепените файлове представлявали архиви със зловредни програми, качени в популярни облачни услуги като Dropbox, Google Drive и Daum Cloud (услуга на южнокорейската Kakao).
При отварянето на файла жертвата вижда „документ“, но всъщност на компютъра се стартира скрит код, който се свързва с GitHub – легитимна платформа за разработчици – и изтегля зловреден софтуер, наречен Xeno RAT. Този вирус позволява на нападателите да поемат пълен контрол върху компютъра.
Хитри тактики за заблуда
Измамните имейли често копират реални дипломати и използват истинска терминология и подпис. Те дори били изпращани в синхрон с реални събития като срещи на върха и международни форуми, за да изглеждат максимално правдоподобни.
Атаката използвала и т.нар. бърза смяна на инфраструктура – зловредните файлове били подменяни няколко пъти на час, за да се избегне засичане от системите за сигурност.
Любопитен факт е, че анализът на времето на активност показва следи, които съвпадат повече с китайска часова зона, отколкото с корейска. Освен това е отчетена тричасова пауза в действията на хакерите точно по време на китайски национални празници. Това поражда съмнения дали става дума за:
Фалшиви IT специалисти в западни компании
Паралелно с кибершпионажа, севернокорейският режим финансира себе си и чрез друг хитър метод – подставени IT работници.
Според данни на CrowdStrike през последната година са засечени над 320 случая, при които севернокорейци са се представяли за дистанционни IT специалисти и са били наемани от чужди компании. Това е 220% ръст спрямо предходната година.
Тези работници често използват изкуствен интелект – генератори на код, автоматични преводачи и дори технологии за дълбоки фалшификации (deepfake), за да минават успешно през интервюта. Те работят едновременно по 3–4 работни места, а за достъп използват “ферми” от лаптопи, които са физически разположени в държавата-мишена, но управлявани дистанционно чрез софтуер като AnyDesk.
Много от тях създават впечатляващи автобиографии с помощта на AI инструменти и използват временни имейл адреси за прикриване на самоличността си. Почти 90% от засечените акаунти са в Gmail и са защитени с двуфакторна автентикация.
Какво означава това?
Тези практики показват колко адаптивни и находчиви са севернокорейските хакерски структури. Те не само шпионират дипломати и държавни институции, но и проникват в частни компании по цял свят, за да печелят пари и достъп до нови технологии.
За обикновения потребител това е напомняне да бъде внимателен при отварянето на имейли от непознати източници, дори да изглеждат официални. А за бизнеса – необходимост от по-сериозни мерки за проверка на дистанционно наеманите IT кадри.
