Эпоха «безопасного» GitHub закончилась. Северная Корея превратила его в командный центр для кибершпионажа.

Trellix Kimsuky GitHub XenoRAT КНДР кибершпионаж дипмиссии
Эпоха «безопасного» GitHub закончилась. Северная Корея превратила его в командный центр для кибершпионажа.
Trellix Kimsuky GitHub XenoRAT КНДР кибершпионаж дипмиссии

Северная Корея добавила GitHub в список союзников.

image

В начале 2025 года специалисты Trellix раскрыли масштабную операцию кибершпионажа, направленную против дипломатических миссий в Сеуле. За период с марта по июль было зафиксировано как минимум 19 атак с применением фишинговых писем , в которых злоумышленники, связанные с КНДР, маскировались под дипломатов и рассылали правдоподобные приглашения на встречи, официальные письма и уведомления о мероприятиях.

Главной особенностью кампании стало использование GitHub в качестве скрытого канала управления заражёнными системами. Для доставки вредоносных файлов применялись облачные сервисы вроде Dropbox и Daum. В качестве основного инструмента использовалась модификация удалённого администратора XenoRAT, которая позволяла полностью контролировать рабочие станции жертв и собирать разведданные. Анализ инфраструктуры показал прямую связь с операциями группы Kimsuky , давно известной своей шпионской активностью в интересах Северной Кореи.

Атака строилась многоэтапно. На первом этапе сотрудники посольств получали письма с архивами, защищёнными паролями, якобы для сохранения конфиденциальности. Внутри находился ярлык с двойным расширением и иконкой PDF-документа. При запуске такой файл активировал PowerShell-скрипт , загружавший полезную нагрузку с GitHub и закреплявший её в системе через задания планировщика. Далее происходил сбор информации о компьютере и загрузка собранных данных на GitHub через API. Для маскировки злоумышленники использовали обычный HTTPS-трафик к доменам GitHub, что усложняло обнаружение.

Отдельное внимание заслуживает методика извлечения финального модуля. После загрузки с Dropbox вредоносный файл имел подменённый заголовок GZIP и маскировался под безобидный документ. Скрипт исправлял первые байты и распаковывал полезную нагрузку в оперативной памяти. Конечным этапом становилась активация XenoRAT, снабжённого средствами скрытой работы, возможностями кражи учётных данных, записи нажатий клавиш, перехвата изображений с экрана и камеры, а также управления файлами.

Ложные письма рассылались волнами. В марте 2025 года наблюдались первые тестовые попытки с нейтральными темами. В мае кампания вышла на пик активности: к дипломатам разных стран направляли приглашения на «политические встречи» и празднование Дня независимости США. В конце мая злоумышленники использовали приманку от имени редакции фиктивного журнала Diplomacy Journal с запросом интервью. В июне и июле тематика сместилась на военные и двусторонние контакты, а последняя атака была зафиксирована 28 июля с письмом от имени польского посла.

Для повышения правдоподобия операторы создали более 50 фальшивых документов на разных языках, включая корейский, английский, персидский, арабский, французский и русский. Среди приманок были приглашения на конференции, официальные ноты и даже анкеты для поступления в международные школы. Большинство из них не содержало вредоносного кода, а служило отвлекающей маской, чтобы жертва поверила в реальность переписки.

Инфраструктура кампании включала несколько аккаунтов GitHub («blairity», «landjhon»), где поддерживались десятки репозиториев с тематическими названиями. Для доставки почты использовались корейские сервисы Hanmail и Daum, а также VPS в Сеуле. При анализе установлено, что злоумышленники работали в изолированных виртуальных средах Windows 11 и Server 2022, применяли инструменты разработчиков и даже следили за процессами через встроенные средства Windows.

По данным Trellix, характер целей и техники говорит о прямой связи с Kimsuky , однако временные паузы в активности совпадали с китайскими праздниками, а рабочий ритм укладывался в типичные часы офисной занятости по времени Китая. Это позволяет предположить, что часть операций велась с территории КНР либо при поддержке китайских ресурсов, хотя мотивация и инструментарий указывают на северокорейское происхождение.

Таким образом, кампания сочетает в себе все ключевые элементы современной кибершпионажной тактики: использование доверенных платформ как каналов связи , высокоуровневую социальную инженерию и многоуровневые техники загрузки вредоносов. Она остаётся активной и требует повышенного внимания от дипломатических структур и правительственных организаций.