## Des acteurs de la RPDC abusent de GitHub pour le C2 Les chercheurs ont observé des acteurs de la menace, probablement associés à la République populaire démocratique de Corée (RPDC), exploitant **GitHub** comme infrastructure de commande et de contrôle (C2). Cette tactique est utilisée dans des attaques multi-étapes visant des organisations en Corée du Sud.  Selon un rapport de **Fortinet FortiGuard Labs**, la séquence d'attaque commence par des fichiers de raccourci Windows (LNK) obfusqués. Ces fichiers déposent un document PDF leurre et un script **PowerShell** qui prépare les phases d'attaque ultérieures. Les fichiers LNK sont censés être distribués par e-mails de phishing. Une fois les payloads téléchargés, la victime voit le document PDF, tandis que le script **PowerShell** malveillant s'exécute silencieusement en arrière-plan. Le script inclut des vérifications pour échapper à l'analyse en détectant les processus en cours liés aux machines virtuelles, aux débogueurs et aux outils forensiques. Si de tels processus sont trouvés, le script se termine immédiatement. ## Persistance et Exfiltration Si les vérifications initiales réussissent, le script extrait un script Visual Basic (VBScript) et établit la persistance à l'aide d'une tâche planifiée. Cette tâche lance le payload **PowerShell** toutes les 30 minutes dans une fenêtre masquée, garantissant l'exécution après chaque redémarrage du système. Ensuite, le script **PowerShell** profile l'hôte compromis, enregistre les résultats dans un fichier journal et exfiltre les données vers un dépôt **GitHub** sous le compte "motoralis" à l'aide d'un jeton d'accès codé en dur. D'autres comptes **GitHub** utilisés dans cette campagne incluent "God0808RAMA", "Pigresy80", "entire73", "pandora0009" et "brandonleeodd93-blip". Le script analyse ensuite un fichier spécifique dans le même dépôt **GitHub** pour récupérer des modules ou des instructions supplémentaires. Cela permet à l'attaquant de tirer parti de la confiance associée à **GitHub** pour se fondre dans la masse et maintenir un contrôle persistant sur l'hôte infecté.  ## Le modus operandi de Kimsuky **Fortinet** note que les versions antérieures de cette campagne utilisaient des fichiers LNK pour propager des familles de malware comme Xeno RAT. L'utilisation de **GitHub** C2 pour distribuer Xeno RAT et sa variante MoonPeak a été précédemment documentée par **ENKI** et **Trellix**, attribuant ces attaques au groupe parrainé par l'État nord-coréen, **Kimsuky**. La chercheuse en sécurité Cara Lin souligne la stratégie de l'attaquant : "Au lieu de dépendre de malwares personnalisés complexes, l'acteur de la menace utilise des outils natifs de Windows pour le déploiement, l'évasion et la persistance. En minimisant l'utilisation de fichiers PE déposés et en exploitant les LolBins, l'attaquant peut cibler un large public avec un faible taux de détection." ## Attaques similaires basées sur LNK La divulgation coïncide avec la publication par **AhnLab** d'une chaîne d'infection similaire basée sur LNK de **Kimsuky**, qui conduit au déploiement d'un backdoor basé sur **Python**. Cette attaque implique également des fichiers LNK exécutant un script **PowerShell** et créant un dossier caché dans le chemin "C:\windirr" pour stocker des payloads, y compris un PDF leurre et un autre fichier LNK imitant un document Hangul Word Processor (HWP). Des payloads intermédiaires sont déployés pour établir la persistance et lancer un script **PowerShell**, qui utilise **Dropbox** comme canal C2 pour récupérer un script batch. Ce fichier batch télécharge des fragments de fichiers ZIP depuis un serveur distant, les combine, extrait un planificateur de tâches XML et un backdoor **Python**, et utilise le planificateur de tâches pour lancer l'implant. Le malware basé sur **Python** peut télécharger des payloads supplémentaires et exécuter des commandes depuis le serveur C2, y compris l'exécution de scripts shell, la liste de répertoires, le téléchargement/téléchargement/suppression de fichiers, et l'exécution de fichiers BAT, VBScript et EXE. ## Les tactiques évolutives de ScarCruft Ces découvertes s'alignent également sur le passage de **ScarCruft** des chaînes d'attaque traditionnelles basées sur LNK à un dropper basé sur OLE HWP pour livrer **RokRAT**, un cheval de Troie d'accès à distance utilisé exclusivement par le groupe de pirates nord-coréen. Selon **S2W**, le malware est intégré en tant qu'objet OLE dans un document HWP et exécuté via le chargement latéral de DLL. "Contrairement aux chaînes d'attaque précédentes qui passaient de scripts BAT déposés par LNK à du shellcode, ce cas confirme l'utilisation de malwares dropper et downloader nouvellement développés pour livrer du shellcode et le payload **RokRAT**", a déclaré **S2W**.