كشف تقرير حديث عن تحول استراتيجي جوهري في أساليب كوريا الشمالية في مجال البرمجيات الخبيثة، حيث تتجه إلى بناء منظومة مجزأة من عائلات برمجيات خبيثة متعددة الأغراض بدلاً من الاعتماد على أداة واحدة شاملة. يهدف هذا التطور إلى تعزيز قدرة النظام على التكيف والصمود في مواجهة الضغوط الرقابية الدولية المتزايدة.
يأتي هذا التحرك نتيجة لعقود من العقوبات الدولية والضغوط الأمنية، والتي دفعت المشغلين في كوريا الشمالية إلى إعادة التفكير في كيفية استدامة عملياتهم عبر الإنترنت تحت المراقبة المستمرة. هذا النهج الجديد يسمح بعزل الضرر عند اكتشاف عائلة برمجيات خبيثة واحدة، بينما تستمر المسارات التشغيلية الأخرى.
استراتيجية البرمجيات الخبيثة المجزأة لكوريا الشمالية
تعامل أدوات كوريا الشمالية الآن كأصول يمكن التخلص منها؛ يتم بناؤها ونشرها وحرقها واستبدالها بأقل قدر من التعطيل. يسمح هذا التصميم المتسامح مع الخسارة لفرق متعددة بالعمل في وقت واحد، مع التركيز على أهداف مختلفة مثل التجسس وسرقة الأموال والتخريب، دون مشاركة البنية التحتية أو تعريض البرنامج الأوسع لكشف شامل.
يُشير محللو DomainTools إلى أن هذه البنية المتعمدة ليست علامة على اضطراب داخلي، بل على نضج البرنامج. يرى التقرير، الذي نُشر في الأول من أبريل 2026، أن ما يبدو من الخارج كبرنامج مجزأ هو في الواقع محفظة منظمة ومتوافقة مع المهام، مصممة لاستيعاب الضغط والصمود أمام عمليات الإزالة المتكررة.
تستهدف هذه العمليات وزارات حكومية، وشركات مقاولات دفاعية، ومراكز فكرية، ومنصات عملات مشفرة، وسلاسل إمداد البرمجيات. وقد كانت الأضرار كبيرة، بما في ذلك سرقة أسرار دولة، وسحب مليارات من منصات العملات المشفرة، وتنفيذ هجمات تخريبية متزامنة مع أحداث جيوسياسية.
من خلال تشغيل ثلاثة مسارات منفصلة في وقت واحد، يمكن لمشغلي كوريا الشمالية العمل بهدوء في إحدى البيئات مع حرق البنية التحتية بسرعة في بيئة أخرى، دون تلويث نقاط الوصول المنفصلة لديهم.
مسارات الهجوم: ثقة الإنسان كمفتاح
تختلف نواقل الهجوم بناءً على نوع المهمة، لكن جميع المسارات الثلاثة تشترك في نقطة دخول مشتركة: الثقة البشرية. تلعب الهندسة الاجتماعية دورًا أساسيًا في الوصول الأولي عبر جميع العمليات.
تشمل المسارات، استخدام مستندات محمّلة ببرمجيات خبيثة، وحملات تصيد موجهة، ومنصات تداول وهمية، وتحديثات برامج مصابة، وكلها تعمل كمسارات دخول. بمجرد الدخول، يقوم المشغلون بتكييف وتيرتهم وأدواتهم لتتناسب مع الهدف، مع البقاء متخفيين لأشهر أو سنوات في بعض الحالات، والتحرك بسرعة لإحداث الضرر في حالات أخرى.
ثلاثة مسارات، برنامج واحد
مسار التجسس: يُعد هذا المسار هو الأقدم والأكثر صبرًا في البرنامج. يرتبط بمجموعة Kimsuky، ويستهدف الوزارات الحكومية ومراكز الفكر والمنظمات الدفاعية، مع إعطاء الأولوية للوصول طويل الأجل على النتائج السريعة.
عادةً ما يتم الدخول عبر مستندات محمّلة ببرمجيات خبيثة أو حملات تصيد استهدافي مرسلة إلى متخصصين محددين. بمجرد الدخول، يستخدم المشغلون أبوابًا خلفية مقيمة في الذاكرة تترك أثرًا ضئيلًا على القرص، ويوجهون حركة التحكم والسيطرة عبر منصات سحابية موثوقة، مما يمزج النشاط مع سير عمل المؤسسة الطبيعي.
مسار التمويل: يتحرك هذا المسار بوتيرة مختلفة تمامًا. تقوده إلى حد كبير جهات مرتبطة بلعازر، ويستهدف بورصات العملات المشفرة ومنصات التمويل اللامركزي وأنظمة المطورين. أدوات مثل AppleJeus تقوم بإخفاء البرمجيات الخبيثة كحافظات عملات مشفرة أو تطبيقات تداول وهمية.
تقوم أدوات اختطاف الحافظات بإعادة توجيه تحويلات الأموال بصمت إلى محافظ يتحكم بها المهاجمون. يتم تضمين تعليمات برمجية ضارة في حزم المصادر المفتوحة التي يثق بها المطورون، مما يحول البرامج المألوفة إلى ناقل وصول قابل للتطوير. يتم تدوير البنية التحتية بسرعة للبقاء في الطليعة، مع تمويل العائدات مباشرة لبرامج كوريا الشمالية للأسلحة وتهربها من العقوبات.
مسار التخريب: يُشكل هذا المسار الذراع الأكثر وضوحًا للبرنامج، ويرتبط بشكل أساسي بمجموعة Andariel. تنفذ هذه العمليات أدوات مسح (wipers) وحمولات شبيهة بالفدية للتسبب في أضرار فورية وواسعة النطاق عبر بيئات المؤسسات.
يتحرك المشغلون بسرعة بمجرد الوصول، وينتشرون جانبيًا قبل أن يتمكن المدافعون من الاستجابة. يتم توقيت الهجمات عمدًا مع الأحداث السياسية أو العسكرية، مما يضمن أن التخريب يقرأ كرسالة دولة واضحة بدلاً من جريمة إلكترونية انتهازية.
كل مسار، على الرغم من كونه معزولًا تشغيليًا، يخدم في النهاية هدفًا مشتركًا واحدًا – الحفاظ على قدرة النظام ومرونته في ظل ضغط دولي مستمر.
يحتاج المدافعون إلى تجاوز توقيعات البرمجيات الخبيثة الثابتة، والتي تنتهي صلاحيتها بسرعة مع تبديل الأدوات. توفر التحليلات السلوكية، ومراقبة الهوية والوصول، ورؤية سلسلة التوريد، وربط بيانات السحابة أدلة أكثر موثوقية.
المنظمات التي تركز بشكل ضيق على فئة واحدة من أنشطة DPRK تخاطر بتفويت الفئات الأخرى بالكامل – النهج الشامل القائم على السلوك هو الدفاع الأكثر فعالية ضد برنامج مصمم لمقاومة الكشف الضيق.