اكتشفت مجموعة القرصنة الكورية الشمالية "كوني" مجموعة جديدة من الهجمات التي تستخدم، ولأول مرة، ميزة tracالأصول "فايند هب" من جوجل. تستهدف هذه الهجمات أجهزة أندرويد وويندوز على حد سواء لسرقة البيانات والتحكم عن بُعد.
كشف النشاط الذي تم رصده في أوائل سبتمبر 2025 أن الهجمات يمكن أن تستغل خدمات tracالأصول الخاصة بجوجل Find Hub، مما يؤدي إلى حذف البيانات الشخصية بشكل غير مصرح به.
تبدأ عملية الاختراق بسلسلة هجمات يقوم فيها كوني بإرسال رسائل بريد إلكتروني تصيدية إلى أهداف محددة للوصول إلى أجهزة الكمبيوتر الخاصة بهم. ثم يستخدم جلسات تطبيق الدردشة KakaoTalk المسجلة دخولها لدى هذه الأهداف لإرسال برامج ضارة إلى جهات اتصالهم على شكل ملف مضغوط (ZIP).
ذكر مركز جينيانز للأمن (GSC) في تقرير فني أن "المهاجمين انتحلوا صفة مستشارين نفسيين ونشطاء حقوق الإنسان من كوريا الشمالية، وقاموا بتوزيع برامج ضارة متنكرة في هيئة برامج لتخفيف التوتر"
أعلنت مجموعة الأمن السيبراني الكورية الجنوبية أن البرمجيات الخبيثة تستهدف العمليات التي تركز على كوريا
بحسب المحققين، يبدو أن رسائل البريد الإلكتروني الاحتيالية الموجهة تأتي من شركات شرعية، مثل مصلحة الضرائب الوطنية. وتخدع هذه الحيلة المستخدمين لفتح مرفقات خبيثة تحتوي على برامج خبيثة للتحكم عن بُعد، مثل برنامج Lilith RAT، الذي يستطيع السيطرة على أجهزة الكمبيوتر المخترقة وإرسال برامج ضارة إضافية.
يستطيع المهاجم البقاء متخفيًا داخل الحاسوب المخترق لأكثر من عام، متجسسًا عبر كاميرا الويب ومتحكمًا بالنظام في غياب المستخدم. وقد صرحت: "في هذه العملية، يُمكّن الوصول الذي يتم الحصول عليه خلال الاختراق الأولي من التحكم بالنظام وجمع معلومات إضافية، بينما تسمح أساليب التخفي بالبقاء متخفيًا على المدى الطويل."
يستطيع المخترقون سرقة بياناتdentحسابات جوجل ونافر الخاصة بالضحية. وبعد حصولهم على كلمات مرور جوجل المسروقة، يستخدمها المخترقون لتسجيل الدخول إلى مركز البحث في جوجل ومسح بيانات أجهزتهم عن بُعد.
على سبيل المثال، قام هؤلاء المخترقون بتسجيل الدخول إلى حساب بريد إلكتروني مخصص للاسترداد تابع لشركة Naver، وقاموا بحذف رسائل التنبيهات الأمنية من Google. بالإضافة إلى ذلك، قاموا بإفراغ سلة المهملات في صندوق الوارد لإخفاء trac.
يستخدم المخترقون أيضًا ملفًا مضغوطًا (ZIP). ينتشر هذا الملف عبر تطبيق المراسلة، ويحتوي على حزمة تثبيت خبيثة من مايكروسوفت (MSI) تُسمى "Stress Clear.msi". تستخدم هذه الحزمة توقيعًا قانونيًا مُقدمًا لشركة صينية للتحقق من مظهر التطبيق. بمجرد تشغيله، يستخدم البرنامج نصًا برمجيًا لإتمام الإعداد الأساسي.
ثم يقوم بتشغيل برنامج نصي مكتوب بلغة Visual Basic (VBScript) يعرض رسالة خطأ وهمية حول مشكلة توافق حزمة اللغة بينما يتم تنفيذ الأوامر الضارة في الخلفية.
هذا البرنامج الخبيث برنامج Lilith RAT في بعض النواحي، ولكن تم منحه الاسم الرمزي EndRAT (المعروف أيضًا باسم EndClient RAT من قبل الباحث الأمني أوفي ليبر) نظرًا للتغييرات التي تمdent.
أفاد جينيان أن مجموعة كوني للهجمات المتقدمة المستمرة (APT) استخدمت أيضًا برنامجًا نصيًا مكتوبًا بلغة أوتو إت لتشغيل برنامج ريمكوس RAT الإصدار 7.0.4، والذي تم الكشف عنه علنًا في 10 سبتمبر 2025 من قبل المجموعة المسؤولة عن صيانته. والآن، يستخدم المخترقون إصدارات أحدث من هذا البرنامج الخبيث في هجماتهم. كما تم العثور على برنامجي Quasar RAT وRftRAT، وهو برنامج خبيث آخر استخدمه كيمسوكي في عام 2023، على الأجهزة المستهدفة.
وقالت شركة الأمن السيبراني الكورية الجنوبية: "هذا يشير إلى أن البرامج الضارة مصممة خصيصاً للعمليات التي تركز على كوريا، وأن الحصول على البيانات ذات الصلة وإجراء تحليل متعمق يتطلب جهداً كبيراً"
يتزايد زخم القراصنة المدعومين من كوريا الشمالية
هذا الهجوم هو defiمتابعة لحملة Konni APT، المرتبطة بمجموعتي Kimsuky و APT 37 اللتين تدعمهما حكومة كوريا الشمالية.
في الوقت نفسه، كشفت منظمة ENKI أن مجموعة لازاروس استخدمت نسخة محدثة من برمجية Comebacker الخبيثة في هجمات استهدفت شركات الدفاع والطيران، مستخدمةً مستندات Microsoft Word مُصممة خصيصًا كطعم ضمن عملية تجسس. وادّعت المجموعة انتسابها إلى شركات إيرباص، ومجموعة إيدج، والمعهد الهندي للتكنولوجيا في كانبور، بهدف خداع الناس.
وفي الوقت نفسه، وكما ذكرت صحيفة Cryptopolitan، أعلنت نائبة وزير الخارجية الثانية كيم جي نا أن كوريا الجنوبية تدرس فرض عقوبات على كوريا الشمالية بسبب جرائم العملات المشفرة المتفشية، وأن التعاون مع الولايات المتحدة أمر بالغ الأهمية.
