كشف باحثون في مجال الأمن السيبراني عن حملة تصيّد جديدة تقف وراءها مجموعة القرصنة الكورية الشمالية المعروفة باسم ScarCruft أو APT37، حيث استخدمت برمجية خبيثة تدعى RokRAT ضمن هجوم أطلق عليه اسم عملية HanKook Phantom من قبل مختبرات Seqrite.
وبحسب التقرير، استهدفت الحملة شخصيات مرتبطة بـ “الجمعية الوطنية لأبحاث الاستخبارات”، من بينهم أكاديميون وباحثون ومسؤولون حكوميون سابقون. ويُرجح أن هدف المهاجمين هو سرقة بيانات حساسة، وترسيخ وجود طويل الأمد، وتنفيذ أنشطة تجسس.
تقنيات التصيّد وأسلوب الاختراق
بدأت سلسلة الهجوم برسائل بريد إلكتروني تصيّدية مصممة بعناية، تتضمن ملفًا مضغوطًا يحتوي على اختصار LNK متنكرًا في هيئة ملف PDF. وعند فتحه، يعرض رسالة إخبارية كوثيقة خداعية بينما يقوم بتثبيت برمجية RokRAT على الجهاز.
ويتمتع هذا البرنامج الخبيث بقدرات متقدمة مثل جمع معلومات النظام، تنفيذ أوامر عن بُعد، استعراض الملفات، التقاط لقطات شاشة، وتحميل برمجيات إضافية، مع إرسال البيانات المسروقة عبر خدمات سحابية مثل Dropbox وGoogle Cloud وpCloud وYandex Cloud.
أدوات إضافية وأساليب متطورة
أشارت Seqrite إلى رصد حملة ثانية تضمنت ملف LNK يعمل كوسيط لتشغيل سكربت PowerShell يخفي بدوره سكربتًا آخر بلغة Batch مسؤول عن تنزيل أداة ضارة. وتقوم هذه الأداة بتشغيل مرحلة متقدمة من الهجوم تهدف لسرقة البيانات مع إخفاء حركة المرور على الشبكة في صورة رفع ملفات عبر متصفح Chrome.
وتضمن ملف الإغراء في هذه الموجة وثيقة منسوبة إلى “كيم يو جونغ”، نائبة مدير إدارة الدعاية والإعلام في حزب العمال الكوري، تعود إلى 28 يوليو، تتحدث عن رفض جهود سيول للمصالحة.
وأكد الباحث Dixit Panchal أن هذه الهجمات تبرز استمرار APT37 في استخدام أساليب متقدمة مثل التصيّد الموجّه، وتشغيل السكربتات دون ملفات، وآليات الإخفاء المعقدة.
خلفيات مرتبطة بمجموعات تهديد أخرى
تأتي هذه التطورات بالتزامن مع كشف شركة QiAnXin عن هجمات نفذتها مجموعة Lazarus باستخدام تقنية ClickFix لاستهداف باحثين عن وظائف من خلال تحديثات مزيفة مرتبطة بشركة NVIDIA. أدت هذه الهجمات إلى تثبيت أدوات خبيثة مثل BeaverTail لسرقة البيانات وInvisibleFerret، وهو باب خلفي يعتمد على لغة Python.
كما تزامن الكشف مع إعلان وزارة الخزانة الأمريكية فرض عقوبات جديدة على أفراد وكيانات متورطة في تشغيل عمالة تقنية معلومات عن بُعد لصالح النظام الكوري الشمالي لتمويل برامجه النووية والصاروخية.
تورط في مشاريع بلوكشين مشبوهة
وفي سياق موازٍ، أصدرت مجموعة Chollima تقريرًا يربط مجموعة Moonstone Sleet بمشروع لعبة بلوكشين تدعى DefiTankLand، مشيرة إلى أن أحد القائمين عليها، المعروف باسم Logan King، ليس سوى عامل تقني كوري شمالي يعمل في إطار شبكة أكبر تدعى BABYLONGROUP.
وأوضح التقرير أن عدة مطورين مرتبطين بالمشروع سبق لهم العمل ضمن شركة ICICB التي يشتبه بأنها واجهة لأنشطة مشبوهة، وأن بعضهم متورط في سوق إجرامي صيني عبر الإنترنت يدعى FreeCity. ويخلص التقرير إلى أن اللعبة، التي يُفترض أنها مشروعة، تم تطويرها فعليًا على أيدي عمالة تقنية مرتبطة بكوريا الشمالية، قبل أن يتم توظيفها كغطاء لنشاط إلكتروني عدائي.
