Получили письмо от полиции? Узнайте тактику новых атак северокорейских шпионов
Северокорейские спецслужбы поменяли тактику кибератак.
Северокорейские хакеры выдавали себя за полицейских, военных чиновников и специалистов по КНДР, чтобы обманом выйти на людей, связанных с безопасностью и политикой Южной Кореи. По данным южнокорейской компании Genians, за атаками может стоять APT37, группировка, которую связывают с военной разведкой КНДР.
APT37 давно известна кибершпионажем против людей, работающих с северокорейской тематикой, а также атаками ради денег. В новой кампании злоумышленники выбирали не случайных пользователей, а конкретные цели в сфере обороны, национальной безопасности и изучения КНДР.
Хакеры подстраивали письма под жертв и использовали детали, которые помогали вызвать доверие. В одних сообщениях они представлялись сотрудниками полиции и писали, что во время расследования взлома нашли адрес получателя на подозрительном сервере. В других выдавали себя за представителей оборонных структур, сотрудников, оформляющих авиабилеты, или участников исследовательских организаций по Северной Корее.
В одном случае злоумышленники заявляли, что получили материалы о северокорейской атомной электростанции и готовят программу, которая поможет специалистам лучше разобраться в теме. В другом случае автор письма представлялся сотрудником оборонного ведомства, который скоро выходит на пенсию и хочет заняться полезными проектами вместе с людьми из той же области.
Genians пишет, что хакеры брали открытые сведения о жертвах, а также личные данные, полученные во время прошлых атак. Поэтому письма выглядели убедительно. Кампания продолжалась как минимум до прошлого месяца, а один из вредоносных файлов последний раз сохраняли утром 17 апреля.
Этот файл был связан с учетной записью «Lailey». По данным Genians, та же учетная запись фигурировала в атаках 2022 года, когда злоумышленники выдавали себя за Национальный консультативный совет по объединению Кореи и сеульское отделение Управления ООН по правам человека.
Отчет вышел на фоне перестройки северокорейских спецслужб. В марте КНДР переименовала Министерство государственной безопасности в Государственное разведывательное бюро. В сентябре 2025 года Главное разведывательное управление расширили и переименовали в Главное разведывательно-информационное бюро. С последним ведомством, как считается, связана APT37.
В Genians считают, что появление слова «разведка» в названиях обеих структур говорит о желании Пхеньяна усилить сбор информации за рубежом, анализ данных и кибероперации.
Под угрозой могут быть не только чиновники и специалисты. Северная Корея также атакует владельцев криптовалюты, поскольку взломы помогают режиму получать иностранную валюту. Национальная разведывательная служба Южной Кореи ранее сообщала, что в прошлом году северокорейские хакеры похитили более 2 трлн вон, около $1,4 млрд, через атаки на криптовалютные и другие цели в Южной Корее и за рубежом. По данным ведомства, сумма стала рекордной для северокорейских хакеров.
Кроме денег, Пхеньян, как полагают южнокорейские власти, пытается красть оборонные, промышленные и информационные технологии.