قال باحثون من شركة Mandiant المتخصصة بالحلول الأمنية، إنهم تمكنوا من الكشف عن مجموعة من الهجمات السيبرانية الكبيرة التي يقف خلفها مخترقون يعملون لصالح حكومة كوريا الشمالية، يستهدفون فيها الباحثين في مجال الأمن الرقمي باستخدام تقنيات وبرمجيات جديدة، أملًا منهم باختراق الشركات التي يعمل الضحايا.
وقالت الشركة إن الحملة بدأت في يونيو 2020، واستخدمت ثلاث عائلات جديدة من البرمجيات الخبيثة، هي Touchmove وSideshow وTouchshift.
ويشتبه الباحثون بأن المجموعة التي تحمل الاسم UNC2970 استهدفت الباحثين في مجال الأمن الرقمي بشكل خاص في هذا العملية، باستخدام حسابات (لينكدإن) LinkedIn تعود إلى موظفي موارد بشرية مزيفين. وصيغت هذه الحسابات بعناية لتحاكي هويات أشخاص حقيقيين لخداع الضحايا وزيادة فرص نجاح الهجمة. وبعد التواصل مع الضحية عبر LinkedIn، يحاول المهاجم نقل المحادثة إلى تطبيق واتساب الذي يستخدمه لتوصيل البرامج الخبيثة.
ويعمد المهاجمون إلى توصيل برنامج Plankwalk الخبيث من خلال برمجيات الماكرو Macros المضمنة في مستندات Microsoft Word. ولدى فتح المستند والسماح لبرمجية الماكرو بالتشغيل، يجري تنزيل وتنفيذ برمجية خبيثة من خادم السيطرة والتحكم التابع للمهاجمين. واعتمد المهاجمون بشكلٍ رئيسي على مواقع مُخترقة تستخدم برمجية (ووردبرس) WordPress لإيصال برمجياتهم الخبيثة.