Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

KimJongRAT атакует через GitHub и Google Drive

3 мин
В мае 2026 года специалисты выявили новую кампанию атак, в которой использовалось вредоносное ПО KimJongRAT, связанное с северокорейской хакерской группировкой Kimsuky. Обновлённый вариант малвари задействует GitHub и другие легитимные платформы для распространения полезной нагрузки, что позволяет злоумышленникам маскировать этапы заражения под обычную сетевую активность и усложнять обнаружение. KimJongRAT известен как гибридное ВПО, сочетающее функции стиллера и RAT (Remote Access Trojan). По данным отчёта, этот инструмент присутствует в арсенале злоумышленников с 2013 года, однако именно версия мая 2026 года демонстрирует заметную эволюцию в тактике, технической реализации и устойчивости к блокировкам. Атака строилась вокруг многоступенчатого потока выполнения. Всё начиналось с того, что целевой пользователь переходил по вредоносной shortened link в электронном письме. После этого происходила загрузка ZIP-архива из GitHub Releases. В архиве содержался вредоносный LNK-файл. При его за
Оглавление

KimJongRAT: новая кампания атак через GitHub и Google Drive усиливает устойчивость северокорейской угрозы

В мае 2026 года специалисты выявили новую кампанию атак, в которой использовалось вредоносное ПО KimJongRAT, связанное с северокорейской хакерской группировкой Kimsuky. Обновлённый вариант малвари задействует GitHub и другие легитимные платформы для распространения полезной нагрузки, что позволяет злоумышленникам маскировать этапы заражения под обычную сетевую активность и усложнять обнаружение.

KimJongRAT известен как гибридное ВПО, сочетающее функции стиллера и RAT (Remote Access Trojan). По данным отчёта, этот инструмент присутствует в арсенале злоумышленников с 2013 года, однако именно версия мая 2026 года демонстрирует заметную эволюцию в тактике, технической реализации и устойчивости к блокировкам.

Многоэтапная цепочка заражения

Атака строилась вокруг многоступенчатого потока выполнения. Всё начиналось с того, что целевой пользователь переходил по вредоносной shortened link в электронном письме. После этого происходила загрузка ZIP-архива из GitHub Releases.

В архиве содержался вредоносный LNK-файл. При его запуске использовалась легитимная команда Windows mshta, которая запускала HTA-файл, размещённый на GitHub. Далее HTA-файл инициировал выполнение зашифрованного VBScript, продолжавшего заражение и загружавшего дополнительные компоненты вредоносного ПО с контролируемого аккаунта Google Drive.

Как работает вредоносная нагрузка

Дальнейшее поведение зависело от состояния Windows Defender. Если защитный механизм был отключён, вредоносное ПО загружало скрытые файлы, включая user.txt и sys.log. Если же Windows Defender был активен, малварь извлекала зашифрованный ZIP-файл.

Для расшифровки и выполнения последующих компонентов использовались команды PowerShell. На одном из следующих этапов запускалась полезная нагрузка KimJongRAT, существующая в двух вариантах — DLL и PowerShell.

Технические изменения и повышение устойчивости

Ключевым отличием варианта мая 2026 года стало то, что он динамически извлекал адреса серверов управления из внешних источников вместо жёсткой привязки кода к конкретным адресам. Такой подход повышает устойчивость к блокировкам и позволяет злоумышленникам менять инфраструктуру без необходимости каждый раз пересобирать ВПО.

Кроме того, обновлённая версия KimJongRAT получила возможность устанавливать инструмент удалённого мониторинга и управления MeshAgent. Это расширяет возможности злоумышленников по поддержанию постоянного доступа к заражённым хостам даже в случае, если основное ВПО будет изолировано средствами защиты.

Быстрая замена инфраструктуры

Отчёт также отмечает устойчивость кампании к оперативным мерам реагирования. Несмотря на удаление с GitHub репозитория, содержавшего exploit, 27 мая 2026 года злоумышленники быстро создали новый repository для продолжения деятельности. Это указывает на высокую живучесть инфраструктуры и готовность атакующих оперативно восстанавливать каналы распространения.

Что это означает для организаций

В целом описанные изменения демонстрируют стратегический сдвиг в сторону эксплуатации легитимных сервисов для размещения вредоносного программного обеспечения и проведения атак. Такая техника всё чаще встречается в кампаниях, связанных с государственными акторами, особенно из Северной Кореи.

  • использование GitHub и Google Drive затрудняет фильтрацию трафика;
  • многоэтапная цепочка заражения усложняет анализ;
  • динамическое получение адресов управления повышает живучесть;
  • установка MeshAgent усиливает закрепление в инфраструктуре жертвы.

Для потенциальных целей атаки это означает необходимость постоянной бдительности, а также проактивных мер защиты. В условиях, когда злоумышленники всё активнее используют доверенные платформы как часть своей инфраструктуры, традиционных механизмов контроля может быть недостаточно.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "KimJongRAT атакует через GitHub и Google Drive".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.