كشفت أبحاث أمنية حديثة عن حملة تجسس إلكتروني منسقة تقف وراءها جهات تهديد مرتبطة بكوريا الشمالية، استهدفت بعثات دبلوماسية تابعة لكوريا الجنوبية بين مارس ويوليو 2025.
اعتمدت الحملة على ما لا يقل عن 19 رسالة تصيّد موجه (Spear-phishing) تم إرسالها باسم دبلوماسيين موثوقين، تضمنت دعوات لحضور اجتماعات ومراسلات رسمية ودعوات لفعاليات، بهدف خداع موظفي السفارات ومسؤولي وزارات الخارجية. وأشارت شركة Trellix إلى أن المهاجمين استغلوا منصة GitHub، المعروفة بكونها أداة مشروعة للمطورين، كقناة خفية للتحكم والسيطرة.
برمجيات خبيثة متنكرة وخداع متقن
أظهرت التحليلات أن المهاجمين اعتمدوا على خدمات تخزين سحابي موثوقة مثل Dropbox وDaum Cloud لتوزيع نسخة معدلة من أداة الوصول عن بُعد مفتوحة المصدر Xeno RAT، التي تمنحهم السيطرة الكاملة على الأنظمة المصابة. كما تم ربط الهجوم بمجموعة القرصنة الكورية الشمالية Kimsuky، التي سبق لها استخدام GitHub كمنصة أولية لتوزيع برمجية MoonPeak الخبيثة.
تم صياغة رسائل البريد بعناية فائقة لتبدو كأنها رسمية وشرعية، إذ تضمنت توقيعات دبلوماسية، ومصطلحات رسمية، وإشارات إلى قمم ومنتديات وأحداث حقيقية. وبمجرد فتح الملفات المضغوطة المرسلة عبر البريد، يتم تشغيل ملف LNK يتنكر في صورة مستند PDF، ليُنفذ تعليمات PowerShell تسحب الحمولة الخبيثة من GitHub، مع عرض مستند خداعي للضحية في الوقت ذاته.
كما أن التعليمات البرمجية مصممة لاستخراج معلومات النظام وتسريبها إلى مستودع GitHub خاص يسيطر عليه المهاجمون، إلى جانب تحميل برمجيات إضافية عبر روابط مضمّنة في ملفات نصية يتم تحديثها باستمرار لإخفاء الأثر وتسهيل التمويه.
بصمات صينية في الحملة السيبرانية
أظهرت تحليلات زمنية لنشاط المهاجمين أن أغلب العمليات جاءت من نطاق زمني يتوافق مع الصين، مع توقف كامل دام ثلاثة أيام تزامن مع عطلات رسمية صينية في أبريل 2025. هذا الأمر أثار احتمالات متعددة، منها أن يكون منفذو الهجمات كوريين شماليين يعملون من الأراضي الصينية، أو أن العملية قد تكون حملة متقدمة صينية تتنكر بتقنيات Kimsuky، أو ربما تعاونًا مشتركًا بين الجانبين.
وبحسب Trellix، فإن استخدام المهاجمين لخدمات كورية كان بهدف التمويه والاندماج في بيئة الشبكات المحلية بكوريا الجنوبية، وهو تكتيك اعتادت مجموعة Kimsuky على ممارسته من خلال العمل من نطاقات IP صينية وروسية.
مخطط عمال تكنولوجيا المعلومات الكوريين الشماليين يخترق 320 شركة
بالتوازي مع هذه التطورات، كشفت شركة CrowdStrike عن تصاعد خطير في عمليات الاحتيال التي يقوم بها عمال تكنولوجيا معلومات كوريون شماليون يتنكرون كموظفين عن بُعد، حيث تم تسجيل أكثر من 320 حادثة اختراق خلال عام واحد فقط، بزيادة بلغت 220% مقارنة بالعام السابق.
هذا المخطط المعروف باسم Famous Chollima وJasper Sleet، يعتمد على أدوات الذكاء الاصطناعي التوليدي مثل Microsoft Copilot وVSCodium إلى جانب أدوات الترجمة، لمساعدتهم في إنجاز مهامهم اليومية والتواصل مع الشركات. وكشفت التحقيقات أن بعضهم يعمل في ثلاث أو أربع وظائف متزامنة.
جزء أساسي من هذه العمليات يتمثل في إنشاء ما يُعرف بـ “مزارع الحواسيب المحمولة”، وهي شبكات من أجهزة الحاسب المخصصة لاستخدام برامج مثل AnyDesk لإيهام الشركات بأن الموظفين موجودون داخل الدولة نفسها. كما يستعين هؤلاء ببرامج الذكاء الاصطناعي لإنشاء سير ذاتية جذابة، وتقنيات التزييف العميق لإخفاء هوياتهم الحقيقية في المقابلات المرئية.
الذكاء الاصطناعي والهوية الرقمية في خدمة الاحتيال
أظهرت تسريبات بيانات البريد الإلكتروني لهؤلاء العمال وجود 1389 عنوانًا مرتبطًا بهم، منها نسبة كبيرة تعتمد على حسابات Gmail مؤمنة بالمصادقة الثنائية. كما تضمنت أسماء المستخدمين مصطلحات تقنية مثل “developer” و”coder”، ما يعكس تركيزهم على قطاع البرمجة والتطوير.
بعض هذه العناوين الإلكترونية تبيّن أنها مرتبطة بقاعدة بيانات مخترقة لأداة تعديل الصور بالذكاء الاصطناعي Cutout.Pro، ما يشير إلى احتمال استخدامها لتغيير الصور الخاصة بحساباتهم على شبكات التواصل أو وثائق الهوية.
