Как приглашение на форум открыло канал связи с хакерами из КНДР

В марте 2025 года южнокорейские ИБ-специалисты из Genians Security Center зафиксировали новую операцию северокорейской хак-группы APT37. Атака, получившая название ToyBox Story, оказалась тщательно спланированной кампанией по целевому фишингу, направленной против активистов, занимающихся вопросами КНДР. Для привлечения внимания жертв хакеры использовали тему реального мероприятия под названием «Эра Трампа 2.0: перспективы и ответ Южной Кореи».

Сообщения были замаскированы под официальные приглашения на академические форумы и рассылались с вложениями в формате ZIP, внутри которых находились ярлыки с расширением LNK. Эти ярлыки активировали PowerShell-команды, запускающие цепочку загрузки вредоносного ПО. В ходе кампании активно использовались облачные хранилища, в том числе Dropbox, pCloud и Yandex, которые выполняли роль управляющих серверов (C2). Такая тактика известна как LoTS — «жизнь за счёт доверенных сайтов» — разновидность атак Living off the Land, при которой злоумышленники маскируются под легитимный трафик.

Один из примеров атаки — письмо от якобы южнокорейского эксперта, касающееся солдат КНДР, якобы отправленных в Россию. Вложенный ZIP-файл содержал LNK-ярлык, запускавший цепочку действий: отображение отвлекающего документа HWP, создание BAT-файла и поэтапная расшифровка вредоносных компонентов. Использовалась сложная схема скрытия расширений и выполнения кода в памяти без сохранения на диск — типичный приём fileless-атак.

В обоих зафиксированных случаях конечной целью была загрузка RoKRAT — семейства шпионских программ, активно используемых APT37. Этот вредонос собирает системную информацию, делает скриншоты, получает команды от операторов и может запускать дополнительный исполняемый код, загруженный с C2. Информация об устройстве и снимки экрана упаковываются, шифруются и отправляются на сервер злоумышленников. В схеме шифрования использовались XOR, AES-CBC и RSA, что затрудняет анализ и перехват данных.

Программа связывалась с API популярных облачных платформ и использовала токены доступа, ассоциированные с определенными email-адресами. Также выявлены старые адреса Gmail, связанные с другими операциями APT37. Некоторые из них совпали с именами пользователей в LinkedIn, однако установить точную природу этих совпадений пока не удалось.

Сравнительный анализ кода RoKRAT с предыдущими инцидентами показал высокую степень схожести. Использовался тот же метод загрузки через PowerShell, та же логика шифрования и структура команд. Это указывает на консервативную тактику: APT37 не вносит существенных изменений в модуль, но активно адаптирует его под новые каналы доставки, избегая обнаружения традиционными антивирусами .

Операция ToyBox Story демонстрирует устойчивую и опасную эволюцию APT37. Группа адаптируется к новым условиям, активно использует легитимные платформы для управления и доставки вредоносного ПО, при этом сохраняя основную архитектуру своих программ. Такая стратегия требует от организаций постоянного мониторинга поведения конечных точек и продвинутой аналитики для своевременного реагирования.