وفقًا لتقرير صادر عن شركة الأمن الكورية الجنوبية "أهن لاب"، استخدمت منظمات القرصنة المدعومة من الدولة، مثل مجموعة لازاروس المدعومة من كوريا الشمالية، على مدار الاثني عشر شهرًا الماضية، التصيد الاحتيالي الإلكتروني على نطاق واسع لسرقة الأموال وجمع المعلومات الاستخبارية. وغالبًا ما كانت المجموعة تنتحل صفة منظمي مؤتمرات أو جهات اتصال أعمال أو زملاء لخداع الناس لفتح ملفات أو تنفيذ أوامر.
مجموعة لازاروس: التصيد الاحتيالي بالرمح أصبح أكثر واقعية بفضل الطعوم المدعومة بالذكاء الاصطناعي
وبحسب بعض التقارير ، استخدمت وحدة تُعرف باسم كيمسوكي الذكاء الاصطناعي لتزييف صور الهويات العسكرية وإدراجها في ملف مضغوط ZIP لجعل الرسائل تبدو شرعية.
يقول خبراء الأمن إن الهويات المزيفة كانت مقنعة بما يكفي لخداع المستلمين لفتح المرفقات، التي نفذت بدورها برمجية خفية. يعود تاريخ الحادثة إلى منتصف يوليو 2025، ويبدو أنها تُمثل تقدمًا كبيرًا في كيفية إنشاء المهاجمين لبرامجهم الوهمية.
الهدف بسيط: إقناع المستخدم بالثقة برسالة، وفتح ملف، فيحصل المهاجم على حق الوصول. قد يؤدي هذا الوصول إلى سرقة بيانات الاعتماد، أو نشر البرمجيات الخبيثة، أو استنزاف محافظ العملات المشفرة. وقد رُبطت جماعات مرتبطة ببيونغ يانغ بهجمات على أهداف مالية ودفاعية، من بين أهداف أخرى.
يُطلب من ضحايا مجموعة لعازر اتباع الأوامر
لم تعتمد بعض الحملات على الثغرات الخفية فحسب. في عدة حالات، خُدع المستهدفون لكتابة أوامر PowerShell بأنفسهم، ظنًا منهم أحيانًا أنهم يتبعون التعليمات الرسمية.
تتيح هذه الخطوة للمهاجمين تنفيذ نصوص برمجية بصلاحيات عالية دون الحاجة إلى اللجوء إلى ثغرة أمنية. وقد حذّرت الجهات الأمنية من انتشار هذه الحيلة على مواقع التواصل الاجتماعي، وقد يصعب اكتشافها.
مجموعة لازاروس: أنواع الملفات القديمة، حيل جديدة
استغلّ المهاجمون أيضًا ملفات اختصارات ويندوز والتنسيقات المشابهة لها لإخفاء الأوامر التي تُنفّذ بصمت عند فتح الملف. وثّق الباحثون ما يقرب من 1000 عينة .lnk خبيثة مرتبطة بحملات أكبر، مما يُظهر أن أنواع الملفات المألوفة لا تزال تُمثّل طريقة التوزيع المُفضّلة. تستطيع هذه الاختصارات تنفيذ وسيطات مخفية وتنزيل حمولات إضافية.
لماذا هذا مهم الآن
هذا يُصعّب إيقاف الهجمات: رسائل شخصية، وصور مُعدّلة بالذكاء الاصطناعي، وحيل تطلب من المستخدمين تنفيذ شيفرات برمجية. تُساعد المصادقة متعددة العوامل وتحديثات البرامج، لكن تدريب الموظفين على التعامل مع الطلبات غير المعتادة بشك يبقى أمرًا بالغ الأهمية. تُوصي فرق الأمن بشبكات أمان أساسية: التحديث، والتحقق، وفي حال الشك، استشارة جهة اتصال معروفة.
وفقًا للتقارير، لا تزال مجموعة لازاروس وكيمسوكي نشطتين. ووفقًا لنتائج مختبر AhnLab، كانت لازاروس المجموعة الأكثر ذكرًا في تحليلات ما بعد الجرائم الإلكترونية خلال الاثني عشر شهرًا الماضية. وقد تم تحديد المجموعة لشن هجمات إلكترونية بدوافع مالية، بينما يبدو أن كيمسوكي أكثر تركيزًا على جمع المعلومات والخداع المُستهدف.
صورة مميزة من Anadolu، مخطط من TradingView