Эпоха «безопасного» GitHub закончилась. Северная Корея превратила его в командный центр для кибершпионажа.

В начале 2025 года эксперты Trellix обнаружили масштабную операцию кибершпионажа, нацеленную на дипломатические представительства в Сеуле. В период с марта по июль было зарегистрировано не менее 19 атак с использованием фишинговых электронных писем. Злоумышленники, предположительно связанные с КНДР, выдавали себя за дипломатов, рассылая правдоподобные приглашения на встречи, официальные сообщения и уведомления о событиях.

Отличительной чертой кампании стало применение GitHub в качестве скрытого канала для управления скомпрометированными системами. Для распространения вредоносных программ использовались облачные платформы, такие как Dropbox и Daum. В качестве основного инструментария использовалась модифицированная версия программы удалённого администрирования XenoRAT, которая давала полный контроль над рабочими станциями жертв и позволяла собирать разведывательную информацию. Анализ инфраструктуры указал на связь с деятельностью группы Kimsuky, известной своей шпионской активностью в интересах Северной Кореи.

Атака была многоступенчатой. На первом этапе сотрудники посольств получали электронные письма с архивами, защищёнными паролями, якобы для обеспечения конфиденциальности. В архивах содержались ярлыки с двойным расширением и иконкой PDF-документа. При запуске такой файл активировал PowerShell-скрипт, загружавший вредоносную нагрузку с GitHub и закреплявший её в системе через планировщик задач. Далее происходил сбор информации о компьютере и отправка собранных данных на GitHub через API. Для маскировки злоумышленники использовали обычный HTTPS-трафик к доменам GitHub, что затрудняло обнаружение.

Особое внимание заслуживает метод извлечения финального модуля. После загрузки с Dropbox вредоносный файл содержал изменённый заголовок GZIP и маскировался под обычный документ. Скрипт исправлял первые байты и распаковывал вредоносную нагрузку в оперативной памяти. На заключительном этапе происходила активация XenoRAT, оснащённого средствами скрытой работы, функциями кражи учётных данных, записи нажатий клавиш, перехвата изображений с экрана и камеры, а также управления файлами.

Ложные письма рассылались волнообразно. В марте 2025 года были зафиксированы первые пробные попытки с нейтральными темами. В мае кампания достигла пика активности: дипломатам различных стран рассылали приглашения на «политические встречи» и празднование Дня независимости США. В конце мая злоумышленники использовали приманку от имени редакции вымышленного журнала Diplomacy Journal с запросом на интервью. В июне и июле тематика сместилась в сторону военных и двусторонних контактов, а последняя атака была зарегистрирована 28 июля с письмом от имени польского посла.

Для повышения убедительности злоумышленники создали более 50 поддельных документов на разных языках, включая корейский, английский, персидский, арабский, французский и русский. Среди приманок были приглашения на конференции, официальные ноты и даже анкеты для поступления в международные школы. Большинство из них не содержало вредоносного кода и служило для отвлечения внимания, чтобы жертва поверила в подлинность переписки.

Инфраструктура кампании включала несколько аккаунтов GitHub («blairity», «landjhon»), где поддерживались десятки репозиториев с тематическими названиями. Для рассылки электронной почты использовались корейские сервисы Hanmail и Daum, а также VPS в Сеуле. Анализ показал, что злоумышленники работали в изолированных виртуальных средах Windows 11 и Server 2022, использовали инструменты разработчиков и даже следили за процессами с помощью встроенных средств Windows.

По данным Trellix, характер целей и техники указывает на прямую связь с Kimsuky. Однако временные перерывы в активности совпадали с китайскими праздниками, а рабочий график соответствовал типичному офисному времени в Китае. Это позволяет предположить, что часть операций велась с территории КНР или при поддержке китайских ресурсов, хотя мотивация и инструментарий указывают на северокорейское происхождение.

Таким образом, кампания сочетает в себе ключевые элементы современной кибершпионской тактики: использование надёжных платформ в качестве каналов связи, продвинутую социальную инженерию и многоуровневые методы загрузки вредоносных программ. Она остаётся активной и требует повышенного внимания со стороны дипломатических структур и правительственных организаций.