يُنسب مشغل إلكتروني جديد للدولة القومية في كوريا الشمالية إلى سلسلة من الحملات التي تم تنظيمها لجمع معلومات استخبارية استراتيجية تتوافق مع المصالح الجيوسياسية لبيونغ يانغ منذ عام 2018.
قال Mandiant المملوك لشركة Google ، والذي يتتبع مجموعة الأنشطة تحت اللقب APT43 ، إن دوافع المجموعة هي التجسس - والدوافع المالية على حد سواء ، والاستفادة من تقنيات مثل حصاد بيانات الاعتماد والهندسة الاجتماعية.
الزاوية النقدية لحملات الهجوم هي محاولة من جانب الفاعل المهدِّد لتوليد الأموال لتحقيق "مهمته الأساسية المتمثلة في جمع المعلومات الاستخبارية الاستراتيجية".
تشير أنماط علم الضحايا إلى أن الاستهداف يركز على كوريا الجنوبية والولايات المتحدة واليابان وأوروبا ، ويشمل الحكومة والتعليم والبحوث ومعاهد السياسات وخدمات الأعمال وقطاعات التصنيع.
لوحظ أيضًا أن الجهة الفاعلة في التهديد تبتعد عن مسارها من خلال ضرب القطاعات العمودية وشركات الأدوية ذات الصلة بالصحة من أكتوبر 2020 حتى أكتوبر 2021 ، مما يؤكد قدرتها على تغيير الأولويات بسرعة.
قال باحثو مانديانت في تقرير تقني مفصل نُشر يوم الثلاثاء: "APT43 هي مشغل سيبراني غزير الإنتاج يدعم مصالح النظام الكوري الشمالي" .
"تجمع المجموعة بين القدرات التقنية المتطورة بشكل معتدل مع تكتيكات الهندسة الاجتماعية العدوانية ، خاصة ضد المنظمات الحكومية والأكاديميين ومراكز الفكر في كوريا الجنوبية والولايات المتحدة التي تركز على القضايا الجيوسياسية لشبه الجزيرة الكورية."
يقال إن أنشطة APT43 تتوافق مع المكتب العام للاستطلاع (RGB) ، وكالة الاستخبارات الأجنبية لكوريا الشمالية ، مما يشير إلى وجود تداخل تكتيكي مع مجموعة قرصنة أخرى يطلق عليها اسم Kimsuky (المعروف أيضًا باسم Black Banshee أو Thallium أو Velvet Chollima).
علاوة على ذلك ، فقد لوحظ استخدام أدوات مرتبطة سابقًا بالنقابات العدائية التابعة الأخرى داخل RGB ، مثل Lazarus Group (المعروف أيضًا باسم TEMP.Hermit).
تتضمن سلاسل الهجوم التي شنتها APT43 رسائل بريد إلكتروني تصيد بالرمح تحتوي على إغراءات مصممة خصيصًا لإغراء الضحايا. يتم إرسال هذه الرسائل باستخدام شخصيات مخادعة ومخادعة تتنكر كأفراد رئيسيين في مجال خبرة الهدف لكسب ثقتهم.
من المعروف أيضًا أنها تستفيد من قوائم جهات الاتصال المسروقة من الأفراد المعرضين للخطر لتحديد المزيد من الأهداف وسرقة العملة المشفرة لتمويل البنية التحتية للهجوم. يتم بعد ذلك غسل الأصول الرقمية المسروقة باستخدام خدمات تأجير التجزئة والتعدين السحابي لإخفاء أثر الطب الشرعي وتحويلها إلى عملة مشفرة نظيفة.
الهدف النهائي للهجمات هو تسهيل حملات جمع بيانات الاعتماد من خلال المجالات التي تحاكي مجموعة واسعة من الخدمات المشروعة وتستخدم البيانات المجمعة لإنشاء شخصيات على الإنترنت.
قال مانديانت: "إن انتشار النشاط ذي الدوافع المالية بين الجماعات الكورية الشمالية ، حتى بين تلك التي ركزت تاريخيًا على التجسس الإلكتروني ، يشير إلى تفويض واسع النطاق للتمويل الذاتي وتوقعًا للحفاظ على نفسها دون توفير موارد إضافية".
يتم تنفيذ عمليات APT43 من خلال ترسانة كبيرة من البرامج الضارة المخصصة والمتاحة للجمهور مثل LATEOP (المعروف أيضًا باسم BabyShark) و FastFire و gh0st RAT و Quasar RAT و Amadey وإصدار Android من برنامج تنزيل يستند إلى Windows يسمى PENCILDOWN.
تأتي هذه النتائج بعد أقل من أسبوع من تحذير الوكالات الحكومية الألمانية والكورية الجنوبية من الهجمات الإلكترونية التي شنتها شركة Kimsuky باستخدام امتدادات متصفحات خادعة لسرقة صناديق بريد Gmail الخاصة بالمستخدمين.
وقالت شركة استخبارات التهديدات "APT43 تستجيب بشكل كبير لمطالب قيادة بيونغ يانغ" ، مشيرة إلى أن المجموعة "تحافظ على وتيرة عالية من النشاط".
"على الرغم من أن عمليات التصيد الاحتيالي وجمع بيانات الاعتماد ضد الحكومة والجيش والمنظمات الدبلوماسية كانت من المهام الأساسية للمجموعة ، فإن APT43 تعدل في نهاية المطاف الاستهداف والتكتيكات والتقنيات والإجراءات لتناسب رعاتها ، بما في ذلك تنفيذ جرائم إلكترونية ذات دوافع مالية حسب الحاجة دعم النظام ".