Những kẻ tấn công sử dụng email lừa đảo mạo danh các nhóm nghiên cứu, tham chiếu đến các sự kiện chính trị quan trọng hoặc diễn biến quân sự để dụ mục tiêu của chúng.

Các nhà nghiên cứu của Proofpoint phát hiện ra hoạt động này vào tháng 02/2025  và đánh giá rằng, có khả năng đây là nỗ lực hỗ trợ sự tham gia quân sự của CHDCND Triều Tiên cùng với Nga ở Ukraine và đánh giá tình hình chính trị làm nền tảng cho cuộc xung đột.

Các nhà nghiên cứu giải thích rằng "Proofpoint đánh giá nhóm TA406 đang nhắm mục tiêu vào các thực thể chính phủ Ukraine để hiểu rõ hơn về mong muốn tiếp tục trong cuốc chiến chống lại Nga và đánh giá triển vọng trung hạn của cuộc xung đột.

Triều Tiên đã cam kết điều quân hỗ trợ Nga vào mùa thu năm 2024 và TA406 rất có thể đang thu thập thông tin tình báo để giúp giới lãnh đạo Triều Tiên xác định rủi ro hiện tại đối với các lực lượng của họ đã có mặt trên chiến trường, cũng như khả năng Nga sẽ yêu cầu thêm quân hoặc vũ khí".

Chuỗi tấn công

Các email độc hại được gửi đến mục tiêu mạo danh các thành viên của các nhóm nghiên cứu để giải quyết các vấn đề chính như việc sa thải các nhà lãnh đạo quân sự gần đây hoặc cuộc bầu cử tổng thống ở Ukraine.

Những kẻ tấn công sử dụng các dịch vụ thư miễn phí như Gmail, ProtonMail và Outlook để liên tục gửi tin nhắn đến mục tiêu của chúng, thúc giục nạn nhân nhấp vào liên kết.

Nếu làm theo, nạn nhân sẽ được chuyển đến một bản tải xuống do MEGA lưu trữ, thả một tệp .RAR được bảo vệ bằng mật khẩu (Analytical Report.rar) vào hệ thống của họ, chứa tệp .CHM có cùng tên.

Mở tệp đó sẽ kích hoạt PowerShell nhúng tải xuống PowerShell giai đoạn tiếp theo, PowerShell này sẽ thu thập thông tin trinh sát từ máy chủ bị nhiễm và thiết lập tính liên tục.

Giải pháp bảo mật Proofpoint cũng đã thấy, các biến thể sử dụng tệp đính kèm HTML thả các tệp ZIP chứa các tệp PDF lành tính và tệp LNK độc hại, dẫn đến việc thực thi PowerShell và VBScript.

Proofpoint không thể truy xuất tải trọng cuối cùng trong các cuộc tấn công này, được cho là một loại phần mềm độc hại/cửa hậu tạo điều kiện cho các hoạt động gián điệp.

Các nhà nghiên cứu cũng lưu ý rằng Konni đã thực hiện các cuộc tấn công chuẩn bị trước đó, nhắm vào cùng những người đó và cố gắng thu thập thông tin đăng nhập tài khoản mà họ có thể sử dụng để chiếm đoạt tài khoản của nạn nhân.

Những nỗ lực này bao gồm các email giả mạo cảnh báo bảo mật của Microsoft, tuyên bố "hoạt động đăng nhập bất thường" và yêu cầu người nhận xác minh thông tin đăng nhập của họ trên một trang web lừa đảo tại "jetmf[.]com".

Việc tin tặc Triều Tiên nhắm mục tiêu vào các thực thể chính phủ Ukraine đã tạo thêm một chiều hướng mới cho chiến trường an ninh mạng vốn đã phức tạp của quốc gia này.