Negli ultimi mesi, la Corea del Nord è stata nuovamente protagonista di una sofisticata campagna di cyber spionaggio rivolta contro missioni diplomatiche della Corea del Sud. L’attacco, risalente al periodo tra marzo e luglio 2025, si è concretizzato attraverso almeno 19 email di spear-phishing che imitavano contatti diplomatici affidabili, nella speranza di indurre il personale di ambasciate e ministeri ad aprire inviti a riunioni e documenti ufficiali. Un elemento particolarmente innovativo di questa attività è stato l’utilizzo di GitHub, solitamente considerato una piattaforma legittima per sviluppatori, come canale nascosto di comando e controllo (C2).

La catena d’infezione e le tecniche impiegate

La catena d’infezione sfruttava servizi cloud affidabili come Dropbox e Daum Cloud per consegnare una variante del trojan di accesso remoto open source Xeno RAT, capace di concedere il pieno controllo delle macchine compromesse ai criminali informatici. Le email, scritte in diverse lingue tra cui coreano, inglese, francese e russo, erano costruite per sembrare reali e inducevano le vittime ad aprire archivi ZIP protetti da password, che contenevano collegamenti Windows camuffati da documenti PDF. L’apertura di questi file attivava codice PowerShell e avviava un payload che si collegava a GitHub per scaricare ulteriori malware e mantenere l’accesso tramite task pianificati.

Non solo, lo script malevolo raccoglieva informazioni di sistema e le inviava a un repository privato GitHub, mentre tramite la lettura di specifici file di testo aggiornati dagli attaccanti, era possibile cambiare velocemente il payload o cancellare le tracce, rendendo l’individuazione molto più difficile grazie all’agilità dell’infrastruttura cloud.

Origine degli attacchi e possibili attori

L’analisi temporale delle attività suggerisce che gran parte degli attacchi provenga da fusi orari compatibili con la Cina, con una pausa coincidente con festività nazionali cinesi, ma non coreane. Questo alimenta l’ipotesi che gli attacchi siano opera di operatori nordcoreani stanziati in Cina, oppure di operazioni cinesi che imitano le tattiche del gruppo Kimsuky, o ancora di una collaborazione per la raccolta di informazioni.

Infiltrazioni aziendali e uso dell’intelligenza artificiale

Parallelamente, emerge il dato inquietante di oltre 320 aziende infiltrate negli ultimi 12 mesi da lavoratori IT nordcoreani che, spacciandosi per collaboratori remoti, generano profitti illeciti per il regime. Questi operatori utilizzano assistenti di intelligenza artificiale per scrivere codice, tradurre comunicazioni ed elaborare CV accattivanti, oltre a tecnologie deepfake per mascherare la propria identità durante i colloqui. Un ulteriore elemento di rischio è lo sfruttamento di email temporanee e tool di editing AI per la creazione di profili falsi, rendendo ancora più difficile il rilevamento delle minacce interne.