Higaisa - кибершпионская группа. Впервые ее деятельность была подробно изучена аналитиками Tencent в ноябре 2019 года. Исследователи считают, что Higaisa имеет южнокорейские корни. Активность группировки прослеживается вплоть до 2009 года и продолжается по сей день. По данным Tencent основными целями Higaisa являются государственные, общественные и торговые организации в Северной Корее, однако в число атакованных стран также входят Китай, Япония, Россия, Польша и другие.
На начальном этапе заражения Higaisa использует сообщения об актуальных событиях и новостях, а также поздравления с праздниками, такими как Новый год, китайский праздник фонарей, северокорейские национальные праздники. В большинстве случаев используется английский язык, поэтому многие «приманки» могут быть актуальны для англоговорящих стран.
В связи с пандемией коронавируса (COVID-19) многие APT-группы, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti использовали в своих кампаниях рассылки писем с вредоносными вложениями на тему эпидемии. Не стала исключением и Higaisa.
Проведенное аналитиками Positive Technologies исследование показало эволюцию вредоносных объектов группировки Higaisa. При этом структура используемых инструментов (дропперы, загрузчики) во многом остается неизменной. Для усложнения детектирования злоумышленники варьируют отдельные детали, такие как URL контрольного сервера, параметры RC4-ключа, используемые для SideLoading легитимные файлы, библиотеки для HTTP-взаимодействия.