В центре продолжающегося расследования — деятельность северокорейских киберакторов, связанная с рядом подставных цифровых компаний и мобильных приложений. Особое внимание уделено IT‑специалисту Хайлону Чжину, чья деятельность связана с сетью, идентифицированной как BABYLONGROUP. Его аккаунты электронной почты (включая пользователя sujan198703) были прослежены до репозитория на GitHub, в котором исследователи обнаружили сходство с активностью другой известной группы — Moonstone Sleet.
Кто фигурирует в расследовании
Ключевые фигуры и организации, упоминаемые в отчёте:
- Хайлон Чжин — IT‑работник, связанный с сетью BABYLONGROUP. Его почтовые учётные записи и GitHub‑репозиторий показали совпадения с деятельностью других северокорейских групп.
- Лиан Хунг — ещё один северокорейский IT‑специалист, как сообщается, также действующий в Танзании.
- Bells Inter Trading Ltd. — компания, с которой, по имеющимся данным, связаны оба специалиста; утверждается, что она занимается разработкой мобильных приложений, включая мобильные VPN‑приложения.
- Аккаунт sujan198703 на GitHub — репозиторий показал сходство с артефактами Moonstone Sleet, что указывает на возможную перекрёстную активность или заимствование инфраструктуры/инструментов.
Операции в Танзании и присутствие в Apple App Store
Следы указывают на целенаправленную деятельность в Танзании: ряд приложений, связанных с Bells Inter Trading Ltd., был успешно опубликован и запущен на местном рынке. Наличие издателя в Apple App Store вызывает особую тревогу, потому что это обеспечивает легальный канал дистрибуции приложений с возможностью широкого охвата и маскировки зловредных намерений под легитимный софт.
«Публикация приложений через официальные магазины повышает их доверие и значительно упрощает внедрение в целевые сообщества», — отмечают аналитики.
Почему акцент на мобильных VPN вызывает беспокойство
Разработка мобильных VPN имеет очевидную прикладную ценность для легитимных пользователей, но в контексте данной операции она приобретает иные смысловые оттенки:
- обеспечение цифровой анонимности и скрытие сетевой телеметрии от обнаружения;
- организация защищённых каналов связи для управления вредоносной инфраструктурой (C2);
- возможность перехвата и исключительного доступа к трафику пользователя, что расширяет возможности для кражи данных и слежки;
- маскировка загрузки дополнительных компонентов и обновлений через легитимные механизмы обновления приложения.
Точки пересечения с известными группами
Наличие сходств между репозиториями, связанными с аккаунтом sujan198703, и активностью Moonstone Sleet говорит о возможной координации, повторном использовании инструментов или общем наборе тактик, техник и процедур (TTP). Связь с BABYLONGROUP усиливает версию о централизованной операционной модели.
Риски и последствия для безопасности
Последствия таких операций многогранны:
- рост вероятности тайной компрометации пользователей через приложения, распространяемые официальными каналами;
- угроза кражи персональных и корпоративных данных через подставные VPN‑сервисы;
- возможность использования легитимных приложений как плацдарма для более широких киберопераций и разведки;
- усиление сложности расследований из‑за международного характера инфраструктуры и наличия многослойных прикрытий.
Рекомендации для защитников и исследователей
На основании полученных данных стоит рекомендовать следующие шаги:
- усилить проверку приложений в экосистемах App Store/Google Play, особенно тех, которые позиционируются как VPN или средства приватности;
- проводить мониторинг и анализ репозиториев на GitHub, связанных с подозрительными почтовыми аккаунтами и совпадающими артефактами;
- обмениваться индикаторами компрометации (IOCs) между локальными регуляторами, операторами мобильных сетей и международными сообществами по кибербезопасности;
- повышать осведомлённость пользователей в регионах, где зафиксирована активность (в частности, Танзания), о рисках установки непроверенных VPN‑приложений;
- рассмотреть применение мер уровня network detection & response (NDR) и мобильно‑ориентированных EDR для выявления аномалий в трафике и поведении приложений.
Вывод
Расследование подчёркивает сложную комбинацию социально‑коммерческих прикрытий, целевой работы на локальном рынке и технических приёмов, направленных на сокрытие активности. Присутствие фигур вроде Хайлона Чжина и Лиана Хунга, связь с Bells Inter Trading Ltd. и публикации в Apple App Store указывают на продуманную кампанию, использующую мобильные VPN как средство достижения операционных целей. Для минимизации рисков необходима скоординированная реакция: от усиления контроля магазинов приложений до активного обмена информацией между специалистами по кибербезопасности в международном масштабе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "BABYLONGROUP и Bells Inter Trading: северокорейские VPN в Танзании".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.