كشفت حملة تجسس معلوماتي جديدة مرتبطة بجهات فاعلة تدعمها كوريا الشمالية، عن استخدام تكتيكات متطورة تستهدف الشركات في كوريا الجنوبية عبر ملفات اختصار ويندوز (LNK) المتخصصة. اللافت في هذه الحملة هو التخفي الذي يعتمد عليه المهاجمون، حيث يستخدمون منصة GitHub كوسيلة للتحكم والسيطرة، مستغلين ثقة المستخدمين بها.
يُعد استخدام GitHub في حملات التصيد الاحتيالي أمراً مقلقاً، نظراً لطبيعة المنصة الأكثر موثوقية وغالباً ما تكون مدرجة في قوائم السماح داخل البيئات المؤسسية. هذا الأمر يسمح لحركة المرور الخبيثة بالاندماج بسلاسة مع النشاط العادي عبر الإنترنت، مما يجعل اكتشافها صعباً.
حملات تجسس كوري شمالي تستغل GitHub في هجمات LNK
تشير التحليلات إلى أن هذه الحملة نشطة منذ عام 2024، وقد تطورت بشكل ملحوظ، حيث أصبحت أكثر تعقيداً ودقة. في البداية، كانت ملفات LNK المستخدمة تحتوي على عدد أقل من تقنيات التشويش، وكانت بياناتها الوصفية تتيح للباحثين الأمنيين تتبع الهجمات وربطها ببعضها البعض.
ارتبطت النسخ المبكرة لهذه الملفات بتوزيع برمجيات خبيثة من نوع XenoRAT. ولكن في الأشهر الأخيرة، قام الجهة المهاجمة بتغيير استراتيجيته، حيث أدمج وظائف فك التشفير مباشرة في وسائط ملفات LNK، وقام بإخفاء الحمولة المشفرة داخل الملفات نفسها. هذا التطور زاد من صعوبة كشف النوايا الخبيثة.
ويتم عرض وثائق وهمية بصيغة PDF على الضحايا كجزء من مرحلة الإصابة، مما يمنحهم الانطباع بأنهم فتحوا ملفاً شرعياً بشكل طبيعي، بينما يقوم البرنامج النصي الخبيث بالتنفيذ بهدوء في الخلفية.
تحديد التهديدات وأهداف الحملة
أجرى باحثو FortiGuard Labs، بقيادة المحللة كارا لين، دراسة دقيقة لهذه الحملة. وأشارت ملاحظاتهم إلى أن عناوين ملصقات PDF التي تم جمعها من عينات الهجوم، توحي بأن الجهة المهاجمة تستهدف بشكل متعمد شركات محددة في كوريا الجنوبية كجزء من جهد أوسع لجمع المعلومات الاستخباراتية.
تتوافق أنماط البيانات الوصفية الموجودة في ملفات LNK، وخاصة اصطلاح التسمية “Hangul Document”، مع التكتيكات التي تستخدمها مجموعات مدعومة من قبل الدولة الكورية الشمالية، مثل Kimsuky و APT37 و Lazarus. وقد تم تصنيف هذه الحملة على أنها ذات خطورة عالية، نظراً لأن البيانات المسروقة يمكن أن تغذي هجمات لاحقة، وتستهدف بشكل أساسي نظام التشغيل Microsoft Windows.
ويشير التركيز الجغرافي والدقة التقنية إلى عملية مدروسة وممولة بشكل جيد، بدلاً من كونها جريمة انتهازية. قامت الجهة المهاجمة بعناية ببناء مستندات الإغراء حول مواضيع ذات صلة ببيئات الأعمال الكورية، مثل المقترحات المالية واتفاقيات الشراكة الاستراتيجية. أسماء الملفات مثل “TRAMS WINBOT AI Strategic Proposal.pdf.lnk” و “(CONFIDENTIAL) AIN x Mine Korea 2026.pdf.lnk” تظهر مدى الدقة في صياغة كل وثيقة وهمية لتبدو أصلية وموثوقة للمستلم.
يبدو أن الهدف الأوسع هو المراقبة طويلة الأجل وجمع المعلومات. من خلال الحفاظ على الوصول عبر المهام المجدولة التي يتم تشغيلها كل 30 دقيقة، واستخدام مستودعات GitHub الخاصة لتخزين السجلات المسروقة وتلقي التعليمات الجديدة، يقوم المهاجم بمراقبة الأنظمة المخترقة بهدوء بمرور الوقت. نظراً لأن جميع الاتصالات تعمل عبر حركة مرور HTTPS المشفرة إلى نطاق موثوق به، فإنها تتجاوز بشكل روتيني الدفاعات المحيطية القياسية دون إثارة أي شكوك.
آلية الإصابة متعددة المراحل
تبدأ عملية الهجوم عندما يقوم الضحية بفتح ما يبدو وكأنه مستند PDF عادي. ولكنه في الواقع اختصار (LNK) يقوم بتشغيل برنامج نصي PowerShell بشكل صامت.
تقوم وظيفة فك تشفير قائمة على XOR داخل ملف LNK باستخراج كل من وثيقة PDF الوهمية والبرنامج النصي الخبيث، بينما تلهي وثيقة PDF الوهمية الضحية.
بمجرد تفعيله، يتحقق برنامج نصي PowerShell من البيئة للكشف عن الأجهزة الافتراضية، وأدوات التصحيح، وأدوات الأدلة الجنائية.
إذا لم يتم اكتشاف أي منها، فإنه يقوم بإنزال ملف VBScript وإنشاء مهمة مجدولة تقوم بتشغيل الحمولة كل 30 دقيقة للحفاظ على الاستمرارية.
يقوم البرنامج النصي بعد ذلك بجمع معلومات مثل إصدار نظام التشغيل، ووقت التشغيل، وبيانات العمليات قيد التشغيل، وتحميلها إلى مستودع GitHub يتحكم فيه المهاجم.
في المرحلة النهائية، يقوم البرمجية الخبيثة بسحب تعليمات جديدة من GitHub، بينما يرسل برنامج نصي للمحافظة على الاتصال بيانات الشبكة الحية إلى المهاجم للمراقبة في الوقت الفعلي.
يجب على المستخدمين وفرق الأمان التعامل مع ملفات LNK و PDF غير المرغوب فيها بحذر، بغض النظر عن مظهرها. يجب مراقبة البيئات بحثاً عن نشاط PowerShell أو VBScript غير العادي، ويجب التحقيق فوراً في أي اتصالات صادرة غير متوقعة إلى نقاط نهاية API الخاصة بـ GitHub.