## Atores da RPDC Abusam do GitHub para C2 Pesquisadores observaram atores de ameaça, provavelmente associados à República Popular Democrática da Coreia (RPDC), explorando o **GitHub** como infraestrutura de comando e controle (C2). Essa tática é usada em ataques multi-estágio direcionados a organizações na Coreia do Sul.  De acordo com um relatório da **Fortinet FortiGuard Labs**, a sequência de ataque começa com arquivos ofuscados de atalho do Windows (LNK). Esses arquivos descarregam um documento PDF de isca e um script **PowerShell** que prepara o palco para fases subsequentes do ataque. Acredita-se que os arquivos LNK sejam distribuídos por e-mails de phishing. Uma vez que os payloads são baixados, a vítima vê o documento PDF, enquanto o script malicioso **PowerShell** é executado silenciosamente em segundo plano. O script inclui verificações para evadir análise, detectando processos em execução relacionados a máquinas virtuais, depuradores e ferramentas forenses. Se algum desses processos for encontrado, o script é encerrado imediatamente. ## Persistência e Exfiltração Se as verificações iniciais forem bem-sucedidas, o script extrai um Visual Basic Script (VBScript) e estabelece persistência usando uma tarefa agendada. Essa tarefa inicia o payload **PowerShell** a cada 30 minutos em uma janela oculta, garantindo a execução após cada reinicialização do sistema. Em seguida, o script **PowerShell** perfila o host comprometido, salva os resultados em um arquivo de log e exfiltra os dados para um repositório **GitHub** sob a conta "motoralis" usando um token de acesso codificado. Outras contas **GitHub** usadas nesta campanha incluem "God0808RAMA", "Pigresy80", "entire73", "pandora0009" e "brandonleeodd93-blip". O script então analisa um arquivo específico no mesmo repositório **GitHub** para recuperar módulos ou instruções adicionais. Isso permite que o atacante aproveite a confiança associada ao **GitHub** para se misturar e manter controle persistente sobre o host infectado.  ## Modus Operandi do Kimsuky A **Fortinet** observa que versões anteriores desta campanha usaram arquivos LNK para espalhar famílias de malware como Xeno RAT. O uso de C2 **GitHub** para distribuir Xeno RAT e sua variante MoonPeak foi documentado anteriormente pela **ENKI** e **Trellix**, atribuindo esses ataques ao grupo patrocinado pelo estado norte-coreano, **Kimsuky**. A pesquisadora de segurança Cara Lin destaca a estratégia do atacante: "Em vez de depender de malware personalizado complexo, o ator de ameaça usa ferramentas nativas do Windows para implantação, evasão e persistência. Ao minimizar o uso de arquivos PE descarregados e alavancar LolBins, o atacante pode atingir um público amplo com uma baixa taxa de detecção." ## Ataques Similares Baseados em LNK A divulgação coincide com a **AhnLab** detalhando uma cadeia de infecção similar baseada em LNK do **Kimsuky**, que leva à implantação de um backdoor baseado em **Python**. Este ataque também envolve arquivos LNK executando um script **PowerShell** e criando uma pasta oculta no caminho "C:\windirr" para preparar payloads, incluindo um PDF de isca e outro arquivo LNK imitando um documento Hangul Word Processor (HWP). Payloads intermediários são implantados para configurar a persistência e iniciar um script **PowerShell**, que usa o **Dropbox** como canal C2 para buscar um script batch. Este arquivo batch baixa fragmentos de arquivo ZIP de um servidor remoto, os combina, extrai um agendador de tarefas XML e um backdoor **Python**, e usa o agendador de tarefas para iniciar o implante. O malware baseado em **Python** pode baixar payloads adicionais e executar comandos do servidor C2, incluindo a execução de scripts shell, listagem de diretórios, upload/download/exclusão de arquivos e execução de arquivos BAT, VBScript e EXE. ## Táticas em Evolução do ScarCruft Essas descobertas também se alinham com a mudança do **ScarCruft** de cadeias de ataque tradicionais baseadas em LNK para um dropper baseado em OLE HWP para entregar **RokRAT**, um trojan de acesso remoto usado exclusivamente pelo grupo de hackers norte-coreano. De acordo com a **S2W**, o malware é incorporado como um objeto OLE dentro de um documento HWP e executado via carregamento lateral de DLL. "Ao contrário das cadeias de ataque anteriores que progrediam de scripts BAT descarregados por LNK para shellcode, este caso confirma o uso de malware dropper e downloader recém-desenvolvido para entregar shellcode e o payload **RokRAT**", afirmou a **S2W**.