Киев читает почту — Пхеньян собирает данные. КНДР прочно обосновалась в госсетях Украины
Пока военные укрепляют границы, хакеры проникают через цифровые щели.
Северокорейская хакерская группа Konni (также известная как Opal Sleet и TA406), связанная с правительством КНДР, была замечена в атаках на украинские правительственные учреждения с целью сбора разведывательной информации. По данным исследователей из компании Proofpoint, кампания началась в феврале 2025 года.
Атакующие применяют фишинговые письма, в которых представляются аналитиками несуществующих «мозговых центров» и ссылаются на актуальные политические события или кадровые перестановки в украинском военном командовании. Темы сообщений касаются отставок военных лидеров или предстоящих выборов президента. Используются общедоступные почтовые сервисы вроде Gmail, ProtonMail и Outlook для массовых рассылок, побуждающих перейти по ссылке.
Переход ведёт на облачный сервис MEGA, откуда загружается архив с паролем под названием «Analytical Report.rar». Внутри него находится CHM-файл, при открытии которого активируется встроенный PowerShell-скрипт. Он, в свою очередь, загружает второй этап атаки — ещё один скрипт PowerShell, выполняющий сбор информации с устройства и закрепляющийся в системе.
В отдельных вариантах злоумышленники используют HTML-вложения, через которые распространяются ZIP-архивы с «безопасными» PDF-файлами и вредоносными LNK-ярлыками. Эти ярлыки запускают PowerShell или VBScript с зашифрованным кодом. Конечный вредоносный компонент, по мнению исследователей, представляет собой бэкдор для шпионской деятельности, но извлечь его пока не удалось.
Кроме основной кампании, Konni проводила подготовительные атаки, пытаясь получить доступ к учётным записям жертв. Для этого применялись поддельные письма от имени Microsoft, в которых сообщалось о «необычной активности входа». Пользователя просили пройти проверку на фишинговом сайте «jetmf[.]com», тем самым раскрывая свои данные.
Активность Konni указывает на растущий интерес КНДР к развитию ситуации вокруг Украины. По мнению специалистов Proofpoint, цель атак заключается в изучении настроений внутри государственных структур, а также в оценке потенциальных угроз для северокорейских военных.
Киберактивность КНДР в этом продолжающемся конфликте добавляет новые слои к и без того сложной цифровой обстановке. Эти действия подчёркивают международный характер текущих киберопераций, разворачивающихся параллельно с другими формами внешнего давления.