أفادت التقارير أن مجموعة القرصنة Kimsuky سيئة السمعة في كوريا الشمالية، والمعروفة أيضًا باسم APT43، شنت هجمات إلكترونية على شركتين للعملات المشفرة في كوريا الجنوبية باستخدام برنامج ضار غير موثق سابقًا قائم على Golang يسمى – Durian.
وفقًا للنتائج التي توصلت إليها شركة Kaspersky العملاقة لحلول الأمن السيبراني، تتميز شركة Durian بـ “وظيفة الباب الخلفي الشاملة”. تتيح هذه الميزة تنفيذ الأوامر المسلمة وتنزيلات الملفات الإضافية وتصفية الملفات.
وبحسب ما ورد وقعت الهجمات في الفترة ما بين أغسطس ونوفمبر 2023، والتي تضمنت استغلال برنامج كوري جنوبي للوصول الأولي.
“استنادًا إلى القياس عن بعد، حددنا ضحيتين في قطاع العملات المشفرة في كوريا الجنوبية. تمت التسوية الأولى في أغسطس 2023، تليها الثانية في نوفمبر 2023.
بمجرد إنشاء البرنامج الضار وتشغيله على أنظمة الضحية، نشر Durian أدوات إضافية، بما في ذلك AppleSeed من الباب الخلفي لـ Kimsuky، وأداة وكيل مخصصة تسمى LazyLoad.
ومن المثير للاهتمام أن أداة LazyLoad ترتبط بـ Andariel، وهي مجموعة فرعية داخل Lazarus سيئة السمعة. وذكرت صحيفة “هاكر نيوز” أن هذا يثير أيضًا الشكوك حول وجود تكتيكات مشتركة بين مجموعتي التهديد الكوريتين الشماليتين.
وفقًا للتقارير، بدأت كيمسوكي في عام 2012 على الأقل وهي تابعة للمكتب العام للاستطلاع في كوريا الشمالية (RGB)، وكالة الاستخبارات العسكرية في البلاد.
مافيا بريد كيمسوكي
من المعروف أن مجموعة Kimsuky قامت بتنفيذ العديد من هجمات التصيد الاحتيالي عبر البريد الإلكتروني لسرقة العملات المشفرة.
في ديسمبر 2023، تنكرت المجموعة في هيئة ممثلين عن وكالة حكومية كورية جنوبية وصحفيين لسرقة العملات المشفرة. ووقع ما مجموعه 1468 شخصًا ضحية لقراصنة العملات المشفرة بين مارس وأكتوبر 2023، وفقًا لتقارير الشرطة.
ومن بين الضحايا أيضًا مسؤولون حكوميون متقاعدون من الدبلوماسية والجيش والأمن القومي. وبحسب ما ورد أرسل الجناة رسائل تصيد تبدو مشروعة لتنفيذ هذا العمل المشبوه.
وكانت مجموعة القرصنة المدعومة من الدولة قد استهدفت في السابق شركات الدفاع الجوي الروسية “مستغلة جائحة فيروس كورونا”.
وفقًا لتقرير كوميرسانت، لاحظت RT-Inform، ذراع أمن تكنولوجيا المعلومات التابع لوكالة التكنولوجيا الروسية المملوكة للدولة Rostec، أن هناك زيادة في عدد الهجمات الإلكترونية على شبكة تكنولوجيا المعلومات خلال الوباء من أبريل إلى سبتمبر 2020. ومع ذلك، فقد ولم ينف ولم يؤكد تقارير هجوم كيمسوكي.