Trusselaktører med tilknytning til Nordkorea har brugt en nul-dages-fejl i ukendt software til at infiltrere cybersikkerhedssamfundet. Googles Threat Analysis Group (TAG) afslørede dette igangværende angreb, hvor modstanderen opretter falske konti på sociale medieplatforme som X og Mastodon for at etablere relationer og opnå tillid til potentielle mål.

Angriberne engagerer sig i lange samtaler med sikkerhedsforskere og flytter til sidst kommunikationen til krypterede meddelelsesapps såsom Signal, WhatsApp eller Wire. Gennem social engineering-taktik introducerer de en ondsindet fil, der indeholder mindst én nul-dages sårbarhed i populær software. Sårbarheden er i øjeblikket under behandling.

Nyttelasten af ​​angrebet inkluderer anti-virtuel maskine (VM)-tjek og indsamler information fra den inficerede maskine, inklusive et skærmbillede, som derefter sendes tilbage til den angriber-kontrollerede server.

Det er ikke første gang, nordkoreanske skuespillere har brugt samarbejds-tema lokker til at inficere ofre. I en tidligere npm-kampagne brugte angriberne falske personas til at målrette cybersikkerhedssektoren. De overbeviste mål om at klone og eksekvere indhold fra et GitHub-lager.

Yderligere undersøgelser fra Google TAG afslørede også et Windows-værktøj kaldet "GetSymbol", udviklet af angriberne og hostet på GitHub, som fungerede som en potentiel sekundær infektionsvektor.

Dette nylige angreb stemmer overens med andre nordkoreanske trusselsaktørers aktiviteter. AhnLab Security Emergency Response Center (ASEC) opdagede, at ScarCruft, en nordkoreansk nationalstatsaktør, bruger LNK-fil lokker i phishing-e-mails til at distribuere en bagdør, der er i stand til at høste følsomme data.

Det er også blevet bemærket, at nordkoreanske trusselsaktører har været rettet mod den russiske regering og forsvarsindustrien, mens de har ydet støtte til Rusland i dets konflikt med Ukraine. Derudover var Lazarus Group, en anden nordkoreansk skuespiller, impliceret i tyveri af $41 millioner i virtuel valuta fra et online casino og betting platform.

Disse cyberoperationer udført af nordkoreanske trusselsaktører har til formål at indsamle efterretninger om opfattede modstandere, indsamle oplysninger om andre landes militære kapaciteter og akkumulere kryptovaluta-midler til staten.

