Северокорейские хакеры используют GitHub в новой кампании против пользователей из Южной Кореи

Первая стадия: обманный ярлык LNK

Злоумышленники использовали файл с именем, которое можно перевести как "Секретное руководство по практической торговле.pdf.lnk". Подобное название указывает на попытку нацелиться на южнокорейских инвесторов в рамках кампании по добыче иностранной валюты, характерной для северокорейских APT-групп. При открытии ярлыка пользователю показывается встроенный PDF-файл-приманка (decoy). Одновременно в скрытом режиме запускается обфусцированный скрипт PowerShell.

Этот скрипт выполняет несколько ключевых функций. Во-первых, он ищет в системе процессы, связанные с виртуальными машинами (vmwaretray.exe, vboxservice.exe) и средствами анализа (Wireshark.exe, ProcessHacker.exe, x64dbg.exe). При обнаружении таких инструментов выполнение немедленно прекращается, что является распространённой тактикой противодействия динамическому анализу в песочнице (sandbox). Затем скрипт создаёт в временной папке каталог со случайным именем и помещает в него два файла: скрипт PowerShell и скрипт VBScript.

Созданный PowerShell-скрипт предназначен для загрузки и выполнения полезной нагрузки (payload) с удалённого сервера. Адресом для загрузки служил "hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt". После выполнения загруженный скрипт удаляется. VBScript же используется для скрытого запуска PowerShell-скрипта с обходом политик выполнения. Для обеспечения постоянства (persistence) в системе создаётся запланированная задача с уникальным именем "Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}", которая запускает VBScript с помощью "wscript.exe". Финальным действием на этой стадии является отправка системной информации (сведений о хосте, ОС, запущенных процессах) на другой сервер злоумышленников через POST-запрос.

Вторая стадия: загрузка через GitHub

Основной скрипт PowerShell, загруженный с первого сервера, выполняет следующий шаг. Он обращается к публичному репозиторию на "raw.githubusercontent.com", принадлежащему учётной записи "macsim-gun/FinalDocu", и скачивает файл "octobor.docx". На момент обнаружения этот репозиторий был удалён по запросу исследователей безопасности. Примечательно, что в коммитах использовался верифицированный адрес электронной почты "sandamalmacsim@gmail.com", что повышает вероятность его связи с операторами угрозы.

Скачанный файл не является настоящим документом Word. Его первые семь байт заменяются на сигнатуру архива GZIP, после чего содержимое распаковывается. В результате извлекается исполняемый файл с оригинальным именем "Stella.exe", который затем загружается и выполняется непосредственно в памяти с помощью метода "Assembly.Load" в PowerShell. Это позволяет избежать записи вредоносного файла на диск.

Третья стадия: выполнение MoonPeak

Распакованный файл "Stella.exe" представляет собой вредоносную программу MoonPeak, защищённую известным обфускатором ConfuserEx для .NET. Данный инструмент шифрует строки и логику, что серьёзно затрудняет статический анализ с помощью таких средств, как dnSpy или dotPeek. Код динамически расшифровывается во время выполнения в конструкторе модуля. Для анализа исследователям пришлось извлекать расшифрованный код из памяти во время динамического прогона, а затем применять специализированные утилиты для деобфускации, такие как de4dot.

Проанализированный образец MoonPeak содержал стандартные для этого семейства настройки: мьютекс "Dansweit_Hk65-PSAccerdle8" для предотвращения повторного заражения и адрес C2-сервера "27.102.137[.]88:443". Его функционал, согласно отчёту компании Trellix за август 2025 года, существенно не изменился. Это свидетельствует о том, что одни и те же операторы продолжают использовать отработанные инструменты и методики.

Заключение и угрозы

Данная кампания демонстрирует устойчивую тенденцию: угрозы, ассоциирующиеся с КНДР, активно используют легитимные инфраструктурные сервисы, такие как GitHub, для размещения своих вредоносных компонентов. Эта тактика, известная как LOTS (Living Off Trusted Sites, "существование за счёт доверенных сайтов"), позволяет дольше оставаться незамеченными, так как трафик к популярным платформам реже вызывает подозрения. Хотя использованные в этой атаке репозиторий и учётная запись были оперативно заблокированы, сама методика остаётся актуальной и опасной.

Активность северокорейских APT-групп представляет серьёзную угрозу в глобальном масштабе, включая Японию и другие страны. Их цели разнообразны: от государственных учреждений и корпораций до частных лиц, особенно в контексте финансовых операций. Непрерывный мониторинг, анализ тактик, техник и процедур (TTP), описанных в матрице MITRE ATT&CK, и обмен информацией внутри сообщества безопасности остаются критически важными для противодействия этим сложным угрозам. Повышение осведомлённости пользователей о фишинговых техниках и рисках, связанных с запуском непроверенных файлов, также является необходимой мерой защиты.

IPv4

• 27.102.137.88

Domains

• mid.great-site.net

URLs

• https://raw.githubusercontent.com/macsim-gun/FinalDocu/main/octobor.docx

Emails

• sandamalmacsim@gmail.com

SHA256

• 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f
• 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4
• aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279