Pesquisadores da FortiGuard Labs identificaram uma campanha de espionagem cibernética direcionada a empresas na Coreia do Sul. Os criminosos abusam da API do GitHub como infraestrutura de comando e controle (C2). De acordo com a investigação, os ataques são responsabilidade de criminosos norte-coreanos.
Os ataques usam arquivos LNK para disparar uma cadeia de infecção em três estágios. Com isso, eles mantêm acesso persistente a sistemas comprometidos sem depender de servidores próprios.
smart_display
Nossos vídeos em destaque
Arquivo LNK disfarçado de documento
O vetor inicial é um arquivo .LNK entregue provavelmente via phishing. Arquivos LNK são atalhos do Windows. O problema é que eles podem carregar argumentos que executam qualquer comando no sistema, e o atacante explora esse comportamento para iniciar a infecção de forma silenciosa.
O arquivo se apresenta como um documento corporativo legítimo, com títulos alinhados a temas relevantes para as empresas-alvo. Quando a vítima clica, o atalho executa uma função de decodificação embutida nos próprios argumentos.
Essa função extrai dois componentes. Eles são um PDF falso, aberto visivelmente para não levantar suspeitas, e um script PowerShell rodando em segundo plano sem janela visível.
Versões anteriores desses arquivos, rastreáveis desde 2024, continham metadados identificadores. O campo “Name” recebia o valor “Hangul Document”, padrão associado a grupos norte-coreanos como Kimsuky, APT37 e Lazarus. Nas versões mais recentes, esses metadados foram removidos, indicando que o atacante está refinando suas técnicas de evasão ativamente.
)
PowerShell verifica o ambiente antes de agir
O script PowerShell do segundo estágio começa verificando se está sendo analisado. Ele varre os processos ativos em busca de ferramentas usadas por analistas de segurança.
A lista inclui ambientes de máquina virtual como VMware e VirtualBox, analisadores de tráfego como Wireshark e Fiddler. Além de debuggers como x64dbg e OllyDbg, e ferramentas forenses como Process Hacker e Procmon. Se qualquer um desses processos for detectado, o script encerra imediatamente.
Confirmado que o ambiente é de uma vítima real, o script instala persistência. Ele cria um arquivo VBScript configurado para executar o payload em janela oculta. Depois, registra uma tarefa agendada com nome disfarçado, “Technical Paper for Creata Chain Task…”, para rodar a cada 30 minutos mesmo após reinicializações.
)
Em seguida, coleta informações do sistema comprometido. Versão do sistema operacional, tempo desde o último boot e lista de processos ativos são salvos em um arquivo de log e exfiltrados para um repositório privado no GitHub via API. A autenticação é feita com um token de acesso hardcoded diretamente no código.
O repositório identificado pertence à conta motoralis. Outras contas associadas à mesma infraestrutura incluem God0808RAMA, Pigresy80, entire73, pandora0009 e brandonleeodd93-blip. A análise mostrou uma gestão estratégica dessas contas.
Isso porque algumas permanecem dormentes por meses enquanto outras são ativadas recentemente para oferecer redundância operacional. Essa é uma prática comum em grupos com recursos e planejamento de longo prazo.
)
Terceiro estágio mantém conexão contínua com o atacante
O script final funciona basicamente como um agente de checagem permanente. A cada 30 minutos, via a tarefa agendada criada anteriormente, ele busca novos módulos ou instruções no repositório GitHub do atacante.
Um script adicional de keep-alive coleta a configuração de rede da máquina comprometida e faz upload para o GitHub. Com isso, ele fica gerando logs em tempo real com data, hora e endereço IP da vítima. Isso porque manter esse fluxo ativo permite ao atacante monitorar o status da máquina e enviar novos comandos ou ferramentas sem nunca abrir uma conexão direta com a vítima, o que tornaria a atividade mais fácil de detectar.
Por que o GitHub é um C2 difícil de bloquear
O abuso do GitHub como canal de comando e controle é o elemento central da campanha. Todo o tráfego malicioso transita por HTTPS para domínios legítimos como api.github.com e raw.githubusercontent.com. Essa técnica torna a atividade criminosa indistinguível do uso normal da plataforma por desenvolvedores.
)
O GitHub é frequentemente liberado em firewalls corporativos e tem alta reputação em sistemas de filtragem de URLs. Então a comunicação com o C2 passa despercebida pela maioria das soluções de segurança convencionais.
Ao operar exclusivamente em repositórios privados, o atacante mantém payloads e logs exfiltrados completamente ocultos.
Indicadores apontam para grupos norte-coreanos
A FortiGuard Labs não fez atribuição formal, mas os indicadores são consistentes com grupos norte-coreanos. O padrão de nomenclatura “Hangul Document” em versões anteriores dos arquivos LNK é uma assinatura documentada de Kimsuky, APT37 e Lazarus.
)
O alvo geográfico exclusivo em empresas sul-coreanas, e o uso do XenoRAT, malware observado em campanhas atribuídas à Coreia do Norte, reforçam essa avaliação. A campanha segue uma tendência crescente entre grupos de espionagem patrocinados por estados.
Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
