Pesquisadores da FortiGuard Labs identificaram uma campanha de espionagem cibernética direcionada a empresas na Coreia do Sul. Os criminosos abusam da API do GitHub como infraestrutura de comando e controle (C2). De acordo com a investigação, os ataques são responsabilidade de criminosos norte-coreanos.Os ataques usam arquivos LNK para disparar uma cadeia de infecção em três estágios. Com isso, eles mantêm acesso persistente a sistemas comprometidos sem depender de servidores próprios.Arquivo LNK disfarçado de documentoO vetor inicial é um arquivo .LNK entregue provavelmente via phishing. Arquivos LNK são atalhos do Windows. O problema é que eles podem carregar argumentos que executam qualquer comando no sistema, e o atacante explora esse comportamento para iniciar a infecção de forma silenciosa.PDFs ligados à atividade corporativa das empresas era principal isca para vítimas. Imagem: Fortinet.O arquivo se apresenta como um documento corporativo legítimo, com títulos alinhados a temas relevantes para as empresas-alvo. Quando a vítima clica, o atalho executa uma função de decodificação embutida nos próprios argumentos.Essa função extrai dois componentes. Eles são um PDF falso, aberto visivelmente para não levantar suspeitas, e um script PowerShell rodando em segundo plano sem janela visível.Versões anteriores desses arquivos, rastreáveis desde 2024, continham metadados identificadores. O campo "Name" recebia o valor "Hangul Document", padrão associado a grupos norte-coreanos como Kimsuky, APT37 e Lazarus. Nas versões mais recentes, esses metadados foram removidos, indicando que o atacante está refinando suas técnicas de evasão ativamente.Trecho do código que continha o PowerShell malicioso. Imagem: Fortinet.PowerShell verifica o ambiente antes de agirO script PowerShell do segundo estágio começa verificando se está sendo analisado. Ele varre os processos ativos em busca de ferramentas usadas por analistas de segurança.A lista inclui ambientes de máquina virtual como VMware e VirtualBox, analisadores de tráfego como Wireshark e Fiddler. Além de debuggers como x64dbg e OllyDbg, e ferramentas forenses como Process Hacker e Procmon. Se qualquer um desses processos for detectado, o script encerra imediatamente.Confirmado que o ambiente é de uma vítima real, o script instala persistência. Ele cria um arquivo VBScript configurado para executar o payload em janela oculta. Depois, registra uma tarefa agendada com nome disfarçado, "Technical Paper for Creata Chain Task...", para rodar a cada 30 minutos mesmo após reinicializações.Outro exemplo de PDF que fazia parte do cotidiano das empresas, e foi usado na exlporação do golpe. Imagem: Fortinet.Em seguida, coleta informações do sistema comprometido. Versão do sistema operacional, tempo desde o último boot e lista de processos ativos são salvos em um arquivo de log e exfiltrados para um repositório privado no GitHub via API. A autenticação é feita com um token de acesso hardcoded diretamente no código.O repositório identificado pertence à conta motoralis. Outras contas associadas à mesma infraestrutura incluem God0808RAMA, Pigresy80, entire73, pandora0009 e brandonleeodd93-blip. A análise mostrou uma gestão estratégica dessas contas.Isso porque algumas permanecem dormentes por meses enquanto outras são ativadas recentemente para oferecer redundância operacional. Essa é uma prática comum em grupos com recursos e planejamento de longo prazo.Mapa do golpe, tudo começa com o arquivo .LNK e pode passar por 3 caminhos, na intenção de atingir o maior número de vítimas. Imagem: Fortinet.Terceiro estágio mantém conexão contínua com o atacanteO script final funciona basicamente como um agente de checagem permanente. A cada 30 minutos, via a tarefa agendada criada anteriormente, ele busca novos módulos ou instruções no repositório GitHub do atacante.Um script adicional de keep-alive coleta a configuração de rede da máquina comprometida e faz upload para o GitHub. Com isso, ele fica gerando logs em tempo real com data, hora e endereço IP da vítima. Isso porque manter esse fluxo ativo permite ao atacante monitorar o status da máquina e enviar novos comandos ou ferramentas sem nunca abrir uma conexão direta com a vítima, o que tornaria a atividade mais fácil de detectar.Por que o GitHub é um C2 difícil de bloquearO abuso do GitHub como canal de comando e controle é o elemento central da campanha. Todo o tráfego malicioso transita por HTTPS para domínios legítimos como api.github.com e raw.githubusercontent.com. Essa técnica torna a atividade criminosa indistinguível do uso normal da plataforma por desenvolvedores.Grupos norte-coreanos estão sendo associados ao ataque tanto pela seleção das vítimas quanto pelo uso do malware específico da região.O GitHub é frequentemente liberado em firewalls corporativos e tem alta reputação em sistemas de filtragem de URLs. Então a comunicação com o C2 passa despercebida pela maioria das soluções de segurança convencionais.Ao operar exclusivamente em repositórios privados, o atacante mantém payloads e logs exfiltrados completamente ocultos. Indicadores apontam para grupos norte-coreanosA FortiGuard Labs não fez atribuição formal, mas os indicadores são consistentes com grupos norte-coreanos. O padrão de nomenclatura "Hangul Document" em versões anteriores dos arquivos LNK é uma assinatura documentada de Kimsuky, APT37 e Lazarus.Os criminosos estão basicamente usando a reputação do domínio como escudo contra bloqueios.O alvo geográfico exclusivo em empresas sul-coreanas, e o uso do XenoRAT, malware observado em campanhas atribuídas à Coreia do Norte, reforçam essa avaliação. A campanha segue uma tendência crescente entre grupos de espionagem patrocinados por estados.Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.