كشفت تقارير أمنية حديثة أن مجموعة القرصنة الكورية الشمالية المعروفة باسم Kimsuky تشن حملة تصيّد موجهة جديدة ضد مؤسسات وأفراد في كوريا الجنوبية، مستخدمة ملفات LNK (اختصارات ويندوز) كنقطة دخول أولى في سلسلة هجوم متعددة المراحل. وتهدف هذه الحملة إلى تثبيت أدوات خبيثة تشمل مسجلات لوحة المفاتيح (keyloggers) وبرمجيات لسرقة البيانات، إلى جانب تمكين المهاجمين من السيطرة الدائمة على الأجهزة المخترقة وتنفيذ تحميلات خفية لمكونات ضارة لاحقة لم تُعرف بعد طبيعتها.
مستندات إغراء برسائل حكومية مزيفة
في هذه الحملة، تُعرض على الضحايا مستندات PDF مصممة خصيصًا للإغراء، تتضمن إشعارات ضريبية مزعومة أو تحذيرات أمنية متعلقة بمجرمين جنسيين في المنطقة. ويُستخدم هذا التكتيك للإيحاء بالمصداقية ودفع الضحية إلى التفاعل مع الملفات الخبيثة دون إثارة الشكوك.
قدرات متقدمة لجمع البيانات والتخفي في الشبكة
بمجرد نجاح البرمجيات في التسلل، تبدأ في جمع معلومات تفصيلية عن النظام، وسرقة بيانات الدخول والمستندات الحساسة، بالإضافة إلى مراقبة نشاط المستخدم عبر تسجيل ضغطات المفاتيح ومراقبة الحافظة clipboard. وتقوم البرمجيات بنقل هذه البيانات بشكل مجزأ ومن خلال حركة مرور الويب العادية، في محاولة للتخفي داخل العمليات الشبكية الاعتيادية، مما يصعب على أنظمة الحماية رصد النشاطات المشبوهة.
خلفية عن مجموعة Kimsuky
تُعرف مجموعة Kimsuky بصلتها الوثيقة بالنظام الكوري الشمالي، وبتاريخها الطويل في تنفيذ حملات تجسس إلكترونية موجهة، خاصة ضد أهداف في كوريا الجنوبية والولايات المتحدة. وقد ركزت سابقًا على سرقة معلومات استخباراتية وسياسية، إلا أن تطور أدواتها وتقنياتها يدل على سعيها لتوسيع نطاق عملياتها وتعقيدها.
