Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

XenoRAT атакует посольства в Сеуле

2 мин
Исследователи Trellix зафиксировали масштабную кибершпионскую операцию, направленную против иностранных посольств в Сеуле. Кампания, активная с марта 2025 года, использует вредоносное ПО XenoRAT, распространяемое через фишинговые письма и вредоносные архивы, размещённые на платформах хранения данных. Согласно данным специалистов, к настоящему моменту проведено не менее 19 целевых атак. Основная цель — дипломатические миссии, преимущественно европейские. Приманки в фишинговых письмах имитировали официальные документы, приглашения на встречи и уведомления о политических или военных событиях. Исследователи утверждают, что методы и структура кампании частично совпадают с тактикой северокорейской группировки Kimsuky (APT43), однако некоторые признаки указывают на возможное китайское происхождение атаки. Атаки проводились в несколько этапов: Отправленные письма отличались высокой степенью контекстуальности. Они были адаптированы под язык и дипломатическую повестку конкретных стран, использов
Изображение: Daniel Bernard (unsplash)
Изображение: Daniel Bernard (unsplash)

Исследователи Trellix зафиксировали масштабную кибершпионскую операцию, направленную против иностранных посольств в Сеуле. Кампания, активная с марта 2025 года, использует вредоносное ПО XenoRAT, распространяемое через фишинговые письма и вредоносные архивы, размещённые на платформах хранения данных.

Согласно данным специалистов, к настоящему моменту проведено не менее 19 целевых атак. Основная цель — дипломатические миссии, преимущественно европейские. Приманки в фишинговых письмах имитировали официальные документы, приглашения на встречи и уведомления о политических или военных событиях.

Исследователи утверждают, что методы и структура кампании частично совпадают с тактикой северокорейской группировки Kimsuky (APT43), однако некоторые признаки указывают на возможное китайское происхождение атаки.

Атаки проводились в несколько этапов:

  • Март: стартовое тестирование схем, первая атака была направлена на посольство страны Центральной Европы;
  • Май: переход к более сложным сценариям — злоумышленники начали рассылку писем от имени высокопоставленных представителей дипломатических делегаций, ссылаясь на «консультативные встречи» и политические мероприятия;
  • Июнь–июль: тематика сообщений стала касаться военного сотрудничества США и Южной Кореи.

Отправленные письма отличались высокой степенью контекстуальности. Они были адаптированы под язык и дипломатическую повестку конкретных стран, использовались корейский, английский, французский, арабский, персидский и русский языки. В качестве дополнительных средств маскировки использовались реально происходящие события, к которым приурочивались сообщения.

Механизм доставки вредоносного кода оставался единым на всех этапах. Атакующие рассылали защищённые паролем ZIP-архивы через Dropbox, Google Drive или южнокорейский Daum. Внутри находился LNK-файл, замаскированный под PDF-документ. При запуске активировался PowerShell-скрипт, загружающий XenoRAT из репозиториев на GitHub или из облачного хранилища. Устойчивость обеспечивалась через систему запланированных задач.

XenoRAT представляет собой универсальный инструмент удалённого доступа. Он позволяет атакующим:

  • регистрировать нажатия клавиш;
  • делать снимки экрана;
  • активировать микрофон и камеру;
  • получать файлы с заражённого устройства;
  • управлять системой через удалённую оболочку.

Оригинал публикации на сайте CISOCLUB: "Хакеры с марта активно атакуют иностранные посольства в Южной Корее".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.