Pojavila se sofisticirana kampanja kompjuterske špijunaže koja pokazuje kako sjevernokorejski hakeri sve više iskorištavaju legitimne platforme u cloud-u za distribuciju malicioznog softvera i uspostavljanje uporne komandne i kontrolne infrastrukture.
Sigurnosni istraživači otkrili su složenu operaciju ciljanih napada (spearphishing) koja eksploatiše sistem privatnih repozitorijuma na platformi GitHub za skladištenje malicioznih tereta (malware payloads), podataka žrtava i zapisnika napada, što predstavlja značajnu evoluciju u taktikama koje koriste grupe koje podržavaju države.
Ova kampanja, aktivna od marta 2025. godine, predstavlja promišljen pomak ka korištenju povjerljivih platformi kako bi se izbjegle tradicionalne sigurnosne mjere.
Napadači su kreirali višestruke GitHub naloge sa ugrađenim (hardcoded) tokenima za lični pristup (Personal Access Tokens – PATs) direktno u svoj maliciozni softver, omogućavajući uporan pristup privatnim repozitorijumima koji sadrže infrastrukturu za napade.
Ovi repozitorijumi služe dvostrukoj svrsi: skladištenje kompresovanih malicioznih tereta prikrivenih kao legitimni dokumenti, te prikupljanje osjetljivih informacija sa ugroženih sistema putem automatiziranih mehanizama za prijenos.
Enki analitičari su identifikovali malicioznu infrastrukturu nakon otkrića PowerShell skripte objavljene na društvenoj mreži X u aprilu 2025. godine.
Početna istraga je pokazala da su napadači sistematično kreirali odvojene GitHub repozitorijume za individualne mete, pri čemu je svaki sadržavao personalizovane dokumente kao mamac i komponente napada specifične za žrtvu.
Sofisticiranost ovog pristupa demonstrira posvećenost hakera visoko ciljanim operacijama, pri čemu svaki repozitorijum sadrži pažljivo kreirane mamce koji imitiraju južnokorejske advokatske firme, finansijske institucije i vladine agencije.
Pripisivanje kampanje sjevernokorejskoj grupi Kimsuky podupire više obavještajnih pokazatelja, uključujući zajedničke elemente infrastrukture i tehničke potpise konzistentne sa prethodnim operacijama.
Napadači su pokazali izuzetnu svijest o operativnoj sigurnosti, koristeći javne servisne cloud-e kao što je Dropbox i privatne GitHub repozitorijume za distribuciju svojih XenoRAT varijanti malicioznog softvera, dok istovremeno održavaju uporan pristup okruženjima žrtava.
Ključna inovacija ove kampanje leži u zloupotrebi legitimne GitHub infrastrukture za stvaranje otpornog sistema distribucije malicioznog softvera i eksfiltracije podataka.
Napadači ugrađuju GitHub tokene za lični pristup sa obimom repozitorijuma direktno u svoj maliciozni softver baziran na PowerShell-u, pružajući sveobuhvatan pristup čitanju i pisanju svim povezanim repozitorijumima.
Ovaj pristup transformiše GitHub iz jednostavne usluge za skladištenje datoteka u sofisticiranu komandnu i kontrolnu platformu sposobnu za dinamičku isporuku tereta i prikupljanje podataka žrtava.
Maliciozni softver koristi višefazni proces infekcije koji započinje izvršavanjem PowerShell skripti koje sadrže ugrađene GitHub API pozive.
Ove skripte sistematično preuzimaju kompresovane maliciozne terete iz privatnih repozitorijuma, modifikuju zaglavlja datoteka kako bi omogućili pravilno dekompresovanje i izvršavaju konačni maliciozni teret na način koji ne ostavlja tragove u datotekama.
Tehnička implementacija uključuje prepisivanje prvih sedam bajtova preuzetih datoteka GZIP zaglavljima prije dekompresije, tehniku osmišljenu da izbjegne osnovne mehanizme detekcije potpisima datoteka.
Analiza strukture repozitorijuma otkriva da napadači održavaju odvojene direktorijume za različite operativne faze, uključujući mape `/log` za informacije o sistemu žrtve i direktorijume `/boot` koji sadrže podatke sa keyloggera.
Automatizovani mehanizam za prenos kreira jedinstveno imenovane datoteke koje slijede obrazac `[ip]-[currentTime]-XXX-kkk.txt`, omogućavajući napadačima da prate individualne mašine žrtava i nadgledaju status infekcije putem standardnog interfejsa za upravljanje repozitorijumima na GitHub-u.
Ovaj sistematski pristup omogućava skalabilno upravljanje žrtvama, zadržavajući pritom izgled legitimnih aktivnosti razvoja softvera.
Mehanizam upornosti koristi Windows Task Scheduler za izvršavanje komponenti malicioznog softvera svakih 30 minuta, pri čemu svaki ciklus izvršavanja preuzima ažurirane skripte sa GitHub repozitorijuma.
Ovaj dizajn omogućava napadačima dinamičko mijenjanje funkcionalnosti svog malicioznog softvera nakon infekcije, pretvarajući početne alate za izviđanje u potpunu daljinsku pristupu trojane, u zavisnosti od rastućih operativnih potreba.
