In der heutigen hypervernetzten Landschaft löst sich die traditionelle Vorstellung einer sicheren Netzwerkgrenze schnell auf. Vom Staat gesponserte Cyber-Kampagnen sind keine ferne Bedrohung mehr. Sie sind zu einem anhaltenden, allgegenwärtigen Risiko geworden, insbesondere für Organisationen, die in politisch sensiblen oder strategisch wichtigen Bereichen tätig sind. Diese raffinierten Angreifer werden immer geschickter darin, konventionelle Verteidigungsmaßnahmen zu umgehen, legitime Tools und das Vertrauen, das wir in digitale Interaktionen setzen, auszunutzen, um Umgebungen zu infiltrieren und wichtige Informationen mit alarmierender Heimlichkeit zu sammeln.
Unsere neuesten Untersuchungen in den Aryaka Threat Research Labs werfen ein Licht auf die sich ständig weiterentwickelnden Bemühungen Nordkoreas im Bereich der Cyberspionage. Angetrieben von Pjöngjangs strategischer Notwendigkeit, geopolitische, militärische und wirtschaftliche Informationen zu sammeln, haben sich Gruppen wie Kimsuky – auch bekannt unter verschiedenen Pseudonymen wie APT43, Thallium und Velvet Chollima – als äußerst aktive und präzise Akteure in diesem undurchsichtigen Bereich erwiesen. Seit über einem Jahrzehnt führt Kimsuky gezielte nachrichtendienstliche Operationen gegen südkoreanische Regierungsstellen, Verteidigungsunternehmen und politische Think Tanks durch. Diese Aktivitäten unterstützen die langfristige Strategie Nordkoreas, sich politische, militärische und technologische Informationen zu beschaffen, was angesichts der internationalen Isolation und der laufenden Sanktionen besonders wichtig ist.
Was diese Kimsuky-Kampagne auszeichnet, ist die meisterhafte Kombination von maßgeschneidertem Social Engineering mit einem bemerkenswert ausgeklügelten Malware-Framework. Die Operation beginnt mit der Übermittlung dieser bösartigen LNK-Dateien, die oft in Täuschungsdokumenten versteckt sind, die öffentlich zugängliches Material der südkoreanischen Regierung geschickt imitieren, um ihre Legitimität zu erhöhen und die Opfer zum Öffnen der Dateien zu verleiten. Sobald diese Verknüpfungsdateien angeklickt werden, führen sie hochgradig verschleierte Skripte aus, die diskret über vertrauenswürdige Systemdienstprogramme, die bereits auf dem Rechner des Opfers vorhanden sind, übertragen werden. Diese Technik, bei der die Malware von der Außenwelt lebt, reduziert den Fußabdruck der Malware erheblich und hilft ihr, herkömmliche signaturbasierte Erkennungen zu umgehen.
Nach erfolgreicher Infiltration tritt das Malware-Framework in Aktion, das auf Heimlichkeit, Langlebigkeit und umfassende Datenexfiltration ausgelegt ist. Sie erstellt ein umfassendes Systemprofil und katalogisiert die kompromittierte Umgebung sorgfältig, um deren Schwachstellen und potenzielle Datenquellen zu ermitteln. Anschließend stiehlt er Zugangsdaten und vertrauliche Dokumente, wobei er es auf wichtige Benutzerdaten und geschützte Informationen abgesehen hat. Um ein Maximum an Informationen zu sammeln, überwacht die Malware auch die Benutzeraktivitäten durch Keylogging und Aufzeichnung der Zwischenablage und liefert so einen kontinuierlichen Strom an sensiblen Daten. Um eine Entdeckung zu vermeiden, erfolgt die Exfiltration der gestohlenen Daten in diskreten, kleinen Segmenten über den normalen Webverkehr, so dass es für Netzwerküberwachungs-Tools unglaublich schwierig ist, bösartige Aktivitäten von normalen Netzwerkoperationen zu unterscheiden. Dieser vielschichtige Ansatz unterstreicht die zunehmende Raffinesse von Kimsuky und die anhaltende Bedrohung, die es für Unternehmen in seinem Fadenkreuz darstellt.
Indem wir diese Kampagne in den breiteren Kontext von Kimsukys Operationen einordnen, veranschaulichen wir, wie die nordkoreanischen Cyberaktivitäten Teil einer größeren, auf den Staat ausgerichteten Strategie sind. Auch wenn einige Operationen finanziell motiviertes Verhalten beinhalten – wie z.B. der Diebstahl von Kryptowährungs-Geldbörsen – so dienen diese Aktivitäten doch umfassenderen nationalen Interessen. Statt opportunistisch oder profitorientiert im traditionellen Sinne cyberkrimineller Aktivitäten zu sein, sind die Kampagnen von Kimsuky hartnäckig, zielgerichtet und strategisch auf die geopolitischen und wirtschaftlichen Ziele des Regimes ausgerichtet.
Da die Unternehmensumgebungen immer verteilter werden – mit der zunehmenden Nutzung der Cloud, der Arbeit an entfernten Standorten und vernetzten Lieferketten – reichen herkömmliche, auf dem Perimeter basierende Verteidigungsmaßnahmen nicht mehr aus. Dieses Papier unterstreicht den dringenden Bedarf an modernen, identitätszentrierten Sicherheitsmodellen, wie Zero Trust und Secure Access Service Edge (SASE). Diese Modelle bieten mehr Transparenz und Kontrolle, um sich gegen ausgeklügelte, nationalstaatliche Bedrohungen, einschließlich der von Kimsuky ausgehenden, zu verteidigen, was die Dringlichkeit und Bedeutung der Einführung dieser Strategien unterstreicht.
Lesen Sie den vollständigen Bericht zur Bedrohungsforschung hier