Pesquisadores da FortiGuard Labs revelaram uma série de ataques utilizando arquivos LNK que exploram a API do GitHub para roubar dados e garantir acesso contínuo a sistemas afetados.
A equipe da FortiGuard Labs descobriu uma campanha de espionagem cibernética com foco em empresas na Coreia do Sul, onde criminosos norte-coreanos abusam da API do GitHub como infraestrutura de comando e controle (C2). A investigação aponta que esses ataques têm como alvo específico empresas sul-coreanas.
Os ataques iniciam com arquivos LNK que desencadeiam uma infecção em três etapas, permitindo que os criminosos mantenham acesso persistente aos sistemas comprometidos sem usar servidores próprios.
Arquivo LNK disfarçado de documento
O vetor inicial consiste em um arquivo .LNK, possivelmente disseminado por meio de phishing. Esses arquivos são atalhos do Windows que, quando manipulados, conseguem executar comandos no sistema de forma discreta.
O arquivo aparenta ser um documento corporativo legítimo, com títulos pertinentes às áreas de interesse das empresas em questão. Ao ser clicado, o atalho ativa uma função de decodificação embutida.
Essa função extrai dois componentes: um PDF falso que é exibido ao usuário, e um script PowerShell que é executado em segundo plano sem gerar qualquer janela visível.
Versões anteriores desses arquivos continham metadados identificáveis, associando-os a grupos como Kimsuky, APT37 e Lazarus. Nas versões mais novas, esses metadados foram eliminados, demonstrando um aprimoramento nas táticas de evasão dos atacantes.
PowerShell verifica o ambiente antes de agir
No segundo estágio, o script PowerShell procura identificar se está sendo monitorado, examinando processos ativos que possam pertencer a analistas de segurança.
A lista de ferramentas que ele busca inclui ambientes de máquinas virtuais e analisadores de tráfego. Se qualquer um desses processos for encontrado, o script é encerrado imediatamente.
Uma vez que o ambiente é reconhecido como o de uma vítima real, o script instala um mecanismo de persistência, criando um arquivo VBScript que executa o payload em modo oculto. Além disso, o script agenda uma tarefa disfarçada para rodar a cada 30 minutos, mesmo após reinicializações.
O script também coleta informações do sistema comprometido, salvando dados como a versão do sistema operacional e a lista de processos ativos, que são então exfiltrados para um repositório privado no GitHub, utilizando um token de acesso embutido no código.
O repositório em questão pertence à conta motoralis, junto com outras contas associadas à mesma estrutura. A análise sugere uma gestão estratégica dessas contas, com algumas permanecendo inativas por longos períodos, enquanto outras são ativadas para garantir redundância operacional.
Terceiro estágio mantém conexão contínua com o atacante
No estágio final, o script atua como um agente que verifica a continuidade da conexão a cada 30 minutos, buscando novos módulos no repositório GitHub do criminoso.
Um script adicional coleta a configuração de rede da máquina comprometida e faz o upload para o GitHub, gerando logs em tempo real com dados sobre a vítima. Isso permite que o atacante monitore o estado do sistema e envie novos comandos sem criar uma conexão direta, dificultando a detecção da atividade.
Por que o GitHub é um C2 difícil de bloquear
A exploração do GitHub como um canal de comando e controle representa um aspecto crítico da campanha. Todo o tráfego malicioso transita através de HTTPS em domínios legítimos, tornando sua atividade indistinguível do uso comum da plataforma.
O GitHub frequentemente passa pela autorização de firewalls corporativos e é bem visto em sistemas de filtragem de URLs, resultando em comunicação C2 que escapa à maioria das soluções de segurança tradicionais.
Além disso, operando exclusivamente em repositórios privados, os atacantes mantêm payloads e logs exfiltrados completamente ocultos.
Indicadores apontam para grupos norte-coreanos
A FortiGuard Labs não fez atribuições formais, mas existem evidências que se alinham com grupos de origem norte-coreana. O padrão de nomenclatura, por exemplo, é uma assinatura reconhecível de Kimsuky, APT37 e Lazarus.
A escolha de alvos específicos na Coreia do Sul e o uso do XenoRAT, malware associado a campanhas da Coreia do Norte, reforçam essa análise. A tendência sugere um aumento nas atividades de espionagem patrocinadas por estados.
Fique atento à TecMania para mais informações sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para novedades em segurança e tecnologia.
