This post is also available in:
English (אנגלית)
ממצאים חדשים חושפים כי האקרים בחסות המדינה הצפון קוריאנית מנהלים פעולות ריגול סייבר נגד מוסדות ממשלתיים אוקראיניים וארגונים קשורים. אך המטרה היא אסטרטגית, ולא טקטית: איסוף מודיעין שעשוי להשפיע על החלטות פיונגיאנג אם להעמיק את תמיכתה הצבאית ברוסיה בסכסוך המתמשך.
על פי חוקרי אבטחת סייבר ב-Proofpoint, קבוצת האיומים הידועה כ-TA406, שגם נמצאת תחת שמות בדויים כמו Opal Sleet ו-Konni, מטרגטת באופן פעיל ישויות אוקראיניות מאז תחילת 2025. בניגוד ליחידות סייבר רוסיות, שמטרתן בעיקר לשבש פעולות או לאסוף מודיעין בשדה הקרב, פעולותיה של קוריאה הצפונית מתמקדות בתובנות פוליטיות וצבאיות לטווח ארוך.
TA406 משתמשים בקמפייני פישינג של הנדסה חברתית שנועדו לחלץ אישורים ולפרוס תוכנות זדוניות. התוקפים מסווים את עצמם כמומחים מועדות אסטרטגיות פיקטיביות, ומנסים לפתות את קורבנותיהם עם תוכן הקשור לאירועים פוליטיים אמיתיים. אחד מהקמפיינים האחרונים התחזה לבכיר מ"המכון המלכותי למחקרים אסטרטגיים", כשהוא מתייחס בהודעה לראש הצבא האוקראיני לשעבר ולרי זלוז'ני כדי לפתות את מקבלי ההחלטות.
לאחר הפתיחה, הקבצים המצורפים הזדוניים – בדרך כלל קובצי HTML או CHM – מפעילים סקריפטים של PowerShell שמתחילים לאסוף נתונים מהמכשיר. קבצי Script אלה מחלצים תצורות רשת, פרטי מערכת, ומידע על תוכנות אבטחה באמצעות פקודות כגון ipconfig /all, systeminfo, ושאילתות WMI.
כדי להתחמק מזיהוי, הקבצים הזדוניים מופצים בארכיוני RAR מוגנים באמצעות סיסמה. במקרים מסוימים, האקרים משתמשים גם בהודעות התראה מזויפות של מיקרוסופט הנשלחות מחשבונות Proton Mail או מעבירים קובצי ZIP המכילים קובצי PDF בלתי חשודים לצד קובצי קיצור דרך זדוניים (LNK) המפענחים ומפעילים קבצי Script של PowerShell.
בפרופוינט מאמינים כי המערכה קשורה בקשר הדוק לחישוב המאמץ הצבאי המתמשך של צפון קוריאה. לאחר שדווח כי פיונגיאנג התחייבה לתמוך ברוסיה בסוף 2024, היא ככל הנראה תשתמש בפעולות סייבר אלה כדי להעריך את הסיכון לכוחותיה ולצפות אם מוסקבה תבקש סיוע נוסף.
