«Операция Посейдон»: когда северокорейский вирус «приплывает» под видом банковской выписки

Кампания под названием «Операция Посейдон» была выявлена как сложная целевая атака, в которой злоумышленники использовали механизмы перенаправления рекламного трафика для обхода фильтров электронной почты и снижения настороженности пользователей.

Центральным элементом этой схемы стало использование структур ссылок от Google Ads и Naver, что позволяло маскировать вредоносные переходы под легитимные рекламные клики. По оценке Genians Security Center, за атакой стоит северокорейская группировка Konni, известная применением методов социальной инженерии и вредоносных скриптов AutoIt.

Основной целью атаки стали пользователи из Южной Кореи, прежде всего в финансовом и правозащитном секторах. Преступники рассылали электронные письма от имени банков и правозащитных организаций, предлагая открыть вложенные архивы с документами. На деле такие письма содержали ярлыки LNK, которые запускали AutoIt-скрипты. Скрипт загружал в память вредоносную программу EndRAT, выдавая её за PDF-документ. Особенность этого подхода — отсутствие необходимости в дальнейших действиях пользователя после запуска файла.

В рамках инфраструктуры злоумышленники активно использовали слабо защищённые сайты на WordPress, превращая их в промежуточные хосты и каналы управления. Это позволяло быстро менять используемые домены и затрудняло отслеживание. Также были обнаружены следы того, что атаки сопровождались внедрением трекеров в электронную почту — прозрачных изображений размером 1×1 пиксель, фиксирующих факт открытия письма.

Начиная с июля 2025 года наблюдалось изменение тактики. Если ранее вредоносные ссылки вставлялись в тело письма напрямую, то затем злоумышленники стали оборачивать их в рекламные ссылки Google и Naver. Такая схема позволяла обойти фильтры, ориентированные на репутацию URL, и убедить пользователя в легитимности содержимого.

Характерной чертой кампании стала высокая степень маскировки: в письмах использовались названия реальных банков, формулировки в стиле «подтверждение перевода» или «согласие на обработку персональных данных». Некоторые файлы имитировали официальные письма с призывами к участию в мероприятиях по теме прав человека в Северной Корее. При этом все они содержали вредоносные LNK-файлы, которые при активации соединялись с одним и тем же сервером управления.

На основании анализа инфраструктуры и кода подтверждено, что за серией атак стоит группировка Konni. В ряде случаев вредоносный скрипт включал строку «Poseidon — Attack», что стало внутренней меткой операции. Хотя в последних версиях она была удалена, исходный путь компиляции указывал на сохранение структуры проекта и подхода к разработке.

Учитывая уровень сложности атаки, её невозможно эффективно предотвратить с помощью одной лишь фильтрации или базовых антивирусных решений. Специалисты подчёркивают важность использования систем обнаружения на основе поведения, таких как EDR, а также постоянного анализа тактик и инфраструктуры угроз. В частности, детектирование перехода от ярлыков к выполнению скриптов или PowerShell-команд может стать ключевым элементом раннего реагирования.

Применение многоуровневой защиты и контекстного анализа событий позволяет вовремя локализовать инцидент, сократить время реагирования и предотвратить развитие атаки внутри организации. Поскольку Konni продолжает совершенствовать свои методы, актуальность таких мер будет только расти.