XenoRAT атакует посольства в Южной Корее: за кампанией стоят КНДР или Китай?

Специалисты Trellix обнаружили масштабную кампанию кибершпионажа, нацеленную на иностранные дипломатические представительства в Сеуле. С начала весны 2025 года злоумышленники осуществили не менее 19 целенаправленных фишинговых атак, распространяя в сетях посольств троянскую программу XenoRAT. Этот вредонос способен перехватывать вводимые с клавиатуры данные, создавать снимки экрана, получать доступ к камере и микрофону, а также выполнять команды через удалённую оболочку.

Атаки проводились в три этапа. Первоначальные электронные письма, появившиеся в марте, имели разведывательный характер. В мае злоумышленники начали рассылать фальшивые приглашения на “политические консультации”, выдавая себя за представителей ЕС. Летом тематика сместилась в сторону американо-корейского военного сотрудничества. Приманки отличались высоким уровнем правдоподобия: многоязычные тексты (на корейском, английском, французском, арабском, русском и персидском языках), актуальность тематики и использование дипломатического стиля.

В электронных письмах содержались запароленные архивы, размещенные на Dropbox, Google Drive и корейском Daum. Внутри находился LNK-файл, закамуфлированный под PDF-документ. Его запуск активировал PowerShell-скрипт, который загружал XenoRAT с GitHub или Dropbox и закреплял его в системе через планировщик задач. Троян загружался непосредственно в оперативную память и был обфусцирован с использованием Confuser Core, что значительно затрудняло его обнаружение антивирусными программами.

Установление заказчика атаки оказалось непростой задачей. Инструментарий и методы указывали на северокорейскую группировку Kimsuky (APT43): использование корейских почтовых сервисов, инфраструктуры GitHub и специфических GUID. Однако временные рамки активности и перерывы в праздничные дни больше соответствовали китайским киберпреступникам. Trellix оценивает атрибуцию как “средней уверенности”: наиболее вероятно, что за атакой стоит APT43, но не исключено участие или поддержка со стороны китайских структур.