#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант связанной с КНДР операции "Contagious Interview" нацелен на американских специалистов в области искусственного интеллекта и технологий через поддельный портал вакансий, который имитирует известные компании, чтобы завоевать доверие. В этой операции используются многоэтапные атаки, включая загрузчик "Обновления драйверов Microsoft" и захват буфера обмена для манипулирования действиями пользователя. Отфильтровывая таланты в областях с высокой ценностью, атака высвечивает изощренную тактику, используемую акторами КНДР для извлечения конфиденциальной информации и использования профессиональной идентичности.
-----

Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции "Contagious Interview" активно нацелен на американских специалистов в области Искусственного интеллекта и других технологических областях с помощью нелегальной платформы для трудоустройства. В отличие от предыдущей тактики, применяемой акторами КНДР, которая часто включала Маскировку под сотрудников для проникновения в компании, эта кампания направлена на то, чтобы скомпрометировать подлинных соискателей работы путем создания кажущегося законным портала вакансий. Платформа демонстрирует высокий уровень отточенности, используя визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы культивировать аутентичность и доверие.

Приманка предназначена для повышения доверия к платформе. Сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости. Объявления о вакансиях на этом сайте отражают реальные объявления о работе в США, с подробностями, отформатированными для имитации подлинности в названиях, описаниях и типах занятости. Стандартизированные приложения для различных ролей требуют конфиденциальной личной информации, включая имена, Адреса эл. почты и профили в LinkedIn, что закладывает основу для профилирования личности в соответствии с тактикой социальной инженерии КНДР.

Вредоносные операции осуществляются с помощью многоэтапной методологии атаки, примером которой, в частности, является программа загрузки "Обновления драйверов Microsoft", которая встроена в процесс подачи заявления о приеме на работу. Операция включает в себя захват буфера обмена, при котором прослушиватель событий запрограммирован на изменение содержимого буфера обмена всякий раз, когда пользователь пытается скопировать информацию с портала вакансий. Этот метод гарантирует, что скопированные команды будут заменены вредоносными последовательностями, разработанными злоумышленниками. Кроме того, сценарии PowerShell используются для извлечения встроенных сценариев без появления видимых пользователю предупреждений, что соответствует распространенной практике кибертактики КНДР.

Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической, отражая интерес КНДР к ценным технологическим талантам и инфраструктуре, которые могли бы расширить их возможности. Выдавая себя за уважаемых работодателей, таких как Anthropic и Yuga Labs, кампания служит не только приманкой, но и фильтром для людей, чьи навыки и связи в отрасли представляют ценность для сотрудников КНДР. Этот метод подчеркивает степень изощренности киберопераций КНДР и их эволюционирующие методы, направленные на извлечение информации и использование идентификационных данных из целевых секторов.

#ParsedReport #CompletenessMedium
20-11-2025

Multi-Level Cloaking Load Decryption and Driver-Level Blinding Countermeasures Analysis YouSnake (Silver Fox) Technique and Tactics Tracker

https://mp.weixin.qq.com/s/1Iwg1hNFqGVi4aXEStu0SA

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Cloaking_technique
Steganography_technique
Winos
Seo_poisoning_technique
Trojan/win32.swimsnake
Byovd_technique
Finalshell

Victims:
Antivirus vendors, Endpoint detection and response providers, Enterprise users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1041, T1059.003, T1059.005, T1071.001, T1140, T1562.004

IOCs:
Hash: 25
File: 29
Path: 5
Registry: 1
IP: 1
Domain: 1

Soft:
WeChat, Youdao, Windows Installer, InnoSetup, Windows Defender, Windows kernel, Microsoft Defender

Algorithms:
rc4, base64, zip, md5

Win API:
decompress, NtHandleCallback, NtQuerySystemInformation, NtOpenProcess, NtDuplicateObject

Languages:
powershell

Platforms:
x86, intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 18, schema: 2, code: 14, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банда шантажистов "Плавающая змея (Silver Fox)" использует передовые методы уклонения, включая многоступенчатую расшифровку полезной нагрузки и сложные контрмеры на уровне драйверов, чтобы скрыть свою деятельность вредоносного ПО. В их атаке используется вредоносный установочный файл Windows, который выполняет скрипт Visual Basic для развертывания троянца удаленного управления при шифровании сообщений с использованием алгоритма RC4. Дополнительные компоненты, такие как дополнительный исполняемый файл, обходят методы обнаружения, используя хэши файлов драйверов и разрабатывая контрмеры, чтобы скрыть их присутствие от программного обеспечения безопасности.
-----

Банда шантажистов "Плавающая змея (Silver Fox)" использует сложные методы, чтобы избежать обнаружения программным обеспечением безопасности, в частности, с помощью многоступенчатой расшифровки полезной нагрузки и контрмер на уровне драйверов. Их первоначальная методология включает многоуровневые процессы дешифрования, которые включают в себя множество компонентов, предназначенных для сокрытия основной вредоносной полезной нагрузки. Этот подход к многоуровневому шифрованию использует около 80 зашифрованных альтернативных адресов управления (C2) и сложную синергию компонентов. Это эффективно маскирует его действия от программного обеспечения безопасности с помощью сложной схемы Стеганографии.

Полезная нагрузка формируется в вредоносном файле установщика Windows с именем "youd_fanyiK_2.0.msi", который скрытно выполняет скрипт Visual Basic (VBS) во время установки. Этот скрипт создает каталоги, имитирующие законные системные папки, и рассылает Вредоносные файлы по различным расположениям в системе, облегчая скрытое развертывание. Критическим компонентом атаки является троян удаленного управления Winos, который скрывается с помощью зашифрованного процесса подключения, который позже расшифровывается и выполняется для установления удаленного контроля над системой жертвы.

Связь между вредоносным ПО и инфраструктурой злоумышленника скрыта с помощью метода шифрования, основанного на алгоритме RC4, использующего специальный ключ для защиты информации о состоянии системы и связанных с ней показателях. Такая практика указывает на высокий уровень изощренности, поскольку вредоносное ПО также обладает способностью маскировать свое взаимодействие с другим программным обеспечением безопасности, используя созданные файлы драйверов, чтобы замести следы во время выполнения.

Дальнейшая изощренность демонстрируется вторичными векторами атаки, когда другой вредоносный исполняемый файл, "Wcnhguhyr.exe ," развертывается для выпуска дополнительных основных компонентов вредоносного ПО. Эти компоненты, используя структурные хэши целевых файлов драйверов, обходят хорошо известные антивирусные сигнатуры различных поставщиков.

Что примечательно, так это интеграция проактивных защитных механизмов на уровне ядра компанией Antenna CERT с помощью их технологии SmartArmor. Это включает в себя мониторинг в режиме реального времени и оценку поведения процесса, что позволяет обнаруживать и блокировать операции с высоким риском. Например, SmartArmor может идентифицировать и прерывать загрузку потенциально вредоносных драйверов на основе репутации их каталога и отсутствия действительных подписей, эффективно предотвращая установку драйверов, связанных с полезной нагрузкой "Плавающая змея".

Общая сложность техники "Плавающей змеи", наряду с передовыми защитными мерами, используемыми системами безопасности, такими как SmartArmor, подчеркивает продолжающуюся игру в кошки-мышки между киберпреступниками и защитниками в условиях киберугрозы.

#ParsedReport #CompletenessMedium
18-11-2025

ShadowRay 2.0: Attackers Turn AI Against Itself in Global Campaign that Hijacks AI Into Self-Propagating Botnet

https://www.oligo.security/blog/shadowray-2-0-attackers-turn-ai-against-itself-in-global-campaign-that-hijacks-ai-into-self-propagating-botnet

Report completeness: Medium

Actors/Campaigns:
Shadowray (motivation: cyber_criminal, financially_motivated)
Ironern440

Threats:
Xmrig_miner
Minerd
Sockstress_tool
Interactsh_tool

Victims:
Ai infrastructure, Cloud computing clusters

Geo:
China, Ireland, Indonesia, Chinese, Brazil, Korea, Finland, United kingdom, Usa, Russia, Moscow

CVEs:
CVE-2025-49596 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-48022 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anyscale ray (2.6.3, 2.8.0)

CVE-2024-50050 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 7
Coin: 1
IP: 13
Hash: 2

Soft:
curl, systemd, Linux, crontab, MySQL

Crypto:
monero

Algorithms:
sha256, md5, sha1, base64

Functions:
syscall

Languages:
python

Links:
have more...
https://github.com/ray-project/ray-open-ports-checker
https://github.com/projectdiscovery/interactsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ShadowRay 2.0 нацелена на системы искусственного интеллекта, используя уязвимость CVE-2023-48022 в Ray framework, которая позволяет удаленно выполнять не прошедший проверку подлинности код через Jobs API. Злоумышленники используют искусственный интеллект для развертывания полезных нагрузок на Python для оптимизации ресурсов, создания обратных оболочек для командования и контроля и внедрения механизмов закрепления. Атака фокусируется на ресурсах графического процессора для майнинга криптовалют и использует самораспространяющуюся модель для усиления эксплуатации и извлечения конфиденциальных данных.
-----

Кампания ShadowRay 2.0 стала серьезной глобальной хакерской угрозой, использующей искусственный интеллект для организации атак на системы искусственного интеллекта. Эта операция использует уязвимость в Ray, платформе с открытым исходным кодом, обычно используемой для рабочих нагрузок искусственного интеллекта, в частности, недостаток, известный как CVE-2023-48022. Эта уязвимость допускает удаленное выполнение кода без проверки подлинности через Ray's Jobs API, позволяя злоумышленникам получить контроль над незащищенными вычислительными кластерами, которые они затем настраивают в самореплицирующийся ботнет.

Начиная с предварительной разведки, злоумышленники размещают задания в системе Ray, которые облегчают первоначальный доступ за счет использования не прошедших проверку подлинности API-интерфейсов отправки. Вредоносные скрипты способны выполнять простые проверки, такие как сбор системной информации или выполнение сложных многоэтапных полезных операций, чтобы проникнуть в скомпрометированную среду и закрепиться в ней. Затем злоумышленники продолжают использовать возможности оркестровки Ray, внедряя вредоносное ПО на каждом операционном узле кластера.

Центральное место в кампании занимает изощренное использование искусственного интеллекта, при котором злоумышленники запускают полезные программы на Python для оптимизации распределения ресурсов в скомпрометированных системах. Они устанавливают обратные оболочки для непрерывного доступа к командам и управлению и внедряют механизмы закрепления, такие как задания cron, для поддержания контроля над системами. Также используется Маскировка процессов, скрывающая майнинг и другие вредоносные операции в рамках обычных системных процессов.

Атака в значительной степени нацелена на ресурсы графического процессора, в частности NVIDIA A100s, для майнинга криптовалют, а также использует методы устранения конкуренции, нацеливаясь на конкурирующие процессы майнинга и инфраструктуру. Злоумышленники демонстрируют повышенную оперативную безопасность, адаптируя свою тактику в зависимости от географического положения, таким образом оптимизируя свои методы в зависимости от регионального контекста жертвы.

Более того, кампания ShadowRay использует самораспространяющуюся модель, используя скомпрометированные кластеры лучей для поиска и эксплуатации дополнительных жертв, что значительно увеличивает масштаб атаки. Имея возможность извлекать конфиденциальные данные, такие как учетные данные базы данных, злоумышленники в дальнейшем используют скомпрометированную инфраструктуру для атак типа "отказ в обслуживании" на другие цели.

Поскольку системы искусственного интеллекта, такие как Ray, становятся свидетелями более широкого внедрения с зачастую неадекватными конфигурациями безопасности, кампания ShadowRay 2.0 подчеркивает острую необходимость в надежных методах обеспечения безопасности. Ключевые стратегии смягчения последствий включают обеспечение надлежащей аутентификации на открытых API, использование брандмауэров для ограничения доступа и тщательный мониторинг производственных сред для обнаружения аномалий. Кампания подчеркивает более широкую тенденцию в области киберугроз, когда безопасность рабочих нагрузок искусственного интеллекта становится первостепенной, учитывая их растущую полезность и уязвимости в реальных приложениях.

#ParsedReport #CompletenessMedium
22-11-2025

Detecting and responding to Funklocker ransomware with Wazuh

https://wazuh.com/blog/detecting-and-responding-to-funklocker-ransomware-with-wazuh/

Report completeness: Medium

Actors/Campaigns:
Funksec

Threats:
Funksec_ransomware
Wevtutil_tool
Vssadmin_tool
Shadow_copies_delete_technique
Lolbin_technique

TTPs:
Tactics: 1
Technics: 7

IOCs:
Command: 5
File: 17
Path: 1
Registry: 1
Hash: 2

Soft:
Windows Defender, Windows Security, Sysinternals, Windows service

Algorithms:
sha256, zip

Functions:
Set-MpPreference, Set-ExecutionPolicy, Write-Output

Languages:
python, powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Funklocker нацелена на системы Windows, нарушая работу и затрудняя восстановление. Для идентификации его действий требуется Sysmon для отслеживания системных событий, в то время как Wazuh используется для настройки правил обнаружения, которые предупреждают пользователей о запуске Funklocker или загрузке Вредоносных файлов. Интеграция YARA с Wazuh расширяет возможности обнаружения и реагирования на Funklocker за счет мониторинга целостности файлов и запуска автоматических реакций на выявленные угрозы.
-----

Программа-вымогатель Funklocker демонстрирует целый ряд агрессивных действий, направленных на нарушение работы конечных точек Windows и усложнение процесса восстановления. Его выполнение влечет за собой несколько вредоносных действий, которые наносят системный ущерб затронутым устройствам. Для эффективного мониторинга и идентификации действий, связанных с Funklocker, необходимо использовать Sysmon. Sysmon позволяет всесторонне отслеживать системные события, что облегчает создание пользовательских правил обнаружения на платформе безопасности Wazuh.

Инфраструктура обнаружения включает загрузку и настройку Sysmon в целевых системах Windows с последующей настройкой правил обнаружения, специально предназначенных для распознавания действий Funklocker. Крайне важно установить эти правила в серверной среде Wazuh, чтобы обеспечить оповещения в режиме реального времени при срабатывании программы-вымогателя. Оповещения, генерируемые с панели мониторинга Wazuh, могут указывать на запуск исполняемого файла Funklocker, особенно когда такие объекты, как Вредоносные файлы, загружаются в папку "Загрузки".

Интеграция YARA с платформой Wazuh значительно расширяет возможности защиты конечных точек, обеспечивая раннее обнаружение и удаление вредоносных файлов. Функция мониторинга целостности файлов Wazuh (FIM) постоянно отслеживает назначенные каталоги и файлы, чтобы обнаружить любые несанкционированные изменения, включая зловещие добавления, модификации или удаления. При возникновении подозрений и обнаружении Вредоносных файлов, связанных с Funklocker, система может автоматически инициировать ответные действия для устранения этих угроз, тем самым ограничивая потенциальный ущерб.

Таким образом, эффективное обнаружение программ-вымогателей Funklocker на конечных устройствах Windows и реагирование на них значительно повышаются при использовании комбинации Sysmon для мониторинга событий, Wazuh для оповещения на основе правил и YARA для анализа файлов. Вводя в действие эти инструменты, организации могут улучшить свои механизмы защиты от Funklocker и аналогичных программ-вымогателей.

#ParsedReport #CompletenessLow
24-11-2025

What You Need To Know About Gainsight Breach

https://socradar.io/what-you-need-to-know-about-gainsight-breach/

Report completeness: Low

Actors/Campaigns:
Gainsight_breach
Scattered_lapsus_hunters
Shinyhunters
0ktapus
Lapsus

Threats:
Nsocks_tool
Supply_chain_technique

Victims:
Salesforce customers, Gainsight customers, Saas platforms

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.004, T1102, T1199, T1550.001, T1595

IOCs:
IP: 16

Soft:
Salesforce, Salesloft Drift, Telegram, Active Directory

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gainsight breach был связан с тем, что злоумышленники использовали украденные токены доступа для получения несанкционированного доступа к данным клиентов в средах Salesforce. Злоумышленники, идентифицированные как Scattered LAPSUS$ Hunters, манипулировали промежуточным соединением между Gainsight и Salesforce, позволяя им считывать и обновлять данные клиентов без прямого проникновения в Salesforce. Этот инцидент выявляет значительные уязвимости во взаимосвязанных системах SaaS, где скомпрометированный токен может привести к широкомасштабному доступу к данным во многих организациях.
-----

Gainsight breach был связан с тем, что злоумышленники использовали токены доступа, используемые в приложении Gainsight в средах Salesforce, для получения несанкционированного доступа к данным клиентов. Salesforce выпустила предупреждения после обнаружения необычной активности, и, по оценкам группы по борьбе с угрозами Google, это может затронуть более 200 экземпляров Salesforce. Нарушение отражает более ранний инцидент с дрейфом Salesloft, подчеркивая уязвимости во взаимосвязанных системах.

Злоумышленники не проникали напрямую в Salesforce, но манипулировали промежуточным соединением между Gainsight и Salesforce с помощью украденных токенов доступа. Эти токены предоставляли злоумышленникам возможности, аналогичные возможностям приложения Gainsight, позволяя им считывать и обновлять данные в организациях-клиентах без взлома самой основной платформы.

Группа, стоящая за взломом, идентифицирована как Scattered LAPSUS$ Hunters, которая использует динамические стратегии, сочетающие элементы различных других хакерских группировок, таких как ShinyHunters и Scattered Spider. В своей деятельности они уделяют приоритетное внимание использованию облачных систем идентификации и часто используют социальную инженерию, а не традиционные методы борьбы с вредоносным ПО. Злоумышленники проявляют склонность к вовлечению общественности, используя такие платформы, как Telegram, чтобы издевательски сообщать о своих жертвах, дразнить оперативными планами и добиваться доступа к инсайдерской информации для усиления своей тактики.

Хотя полный объем данных, к которым был получен доступ в результате взлома, все еще оценивается, модели поведения злоумышленников предполагают, что они использовали украденные токены для манипулирования и копирования данных в учетных записях клиентов Salesforce. Это иллюстрирует значительный риск, который представляют для клиентов приложения SaaS, где одно слабое звено потенциально может разоблачить несколько компаний благодаря обширным разрешениям, предоставляемым связанными токенами.

В свете таких инцидентов командам безопасности настоятельно рекомендуется принять незамедлительные меры для сдерживания и уменьшения ущерба, причиненного подобными нарушениями. Salesforce подготовила руководство, в котором подробно описывается, что компаниям рекомендуется проявлять бдительность в отношении действий подключенных приложений, быть в курсе потенциальных признаков компрометации (IOCs), включая злоупотребление токенами и несанкционированные вызовы API. Кроме того, взлом служит наглядным примером того, как злоумышленники могут использовать надежные соединения без ущерба для основной платформы, подчеркивая острую необходимость постоянного анализа и управления разрешениями, а также регулярной ротации токенов доступа, чтобы снизить риск использования в облачных экосистемах.

#ParsedReport #CompletenessLow
22-11-2025

Security Advisory: Unusual Activity related to the Gainsight application

https://help.salesforce.com/s/articleView?id=005229029&type=1

Report completeness: Low

Actors/Campaigns:
Gainsight_breach

Threats:
Nsocks_tool

Victims:
Salesforce customers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1199

IOCs:
IP: 16

Soft:
Salesforce, Salesloft Drift

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Salesforce обнаружила необычную активность, связанную с приложениями Gainsight, что указывает на потенциальный несанкционированный доступ к данным клиентов из-за уязвимостей в том, как эти приложения взаимодействуют с системами Salesforce. Хотя конкретные подробности о векторе атаки остаются нераскрытыми, расследование указывает на то, что в приложениях Gainsight или их интеграциях могут быть слабые места. Постоянный мониторинг сторонних приложений на предмет аномалий безопасности необходим для защиты конфиденциальной информации.
-----

Salesforce обнаружила необычную активность в отношении приложений, опубликованных Gainsight, которые управляются и устанавливаются клиентами. Расследование этой деятельности предполагает, что, возможно, имел место несанкционированный доступ к некоторым данным клиентов из-за способа подключения этих приложений к системам Salesforce. Хотя конкретные технические подробности, касающиеся характера этого несанкционированного доступа или вектора атаки, не разглашаются, подразумевается, что уязвимости могут существовать в приложениях Gainsight или точках их интеграции с Salesforce. Клиенты, использующие эти приложения, должны сохранять бдительность и пересмотреть свои конфигурации и средства контроля доступа, чтобы снизить любые потенциальные риски, возникающие в результате этой необычной деятельности. Продолжающееся расследование подчеркивает важность постоянного мониторинга сторонних приложений на предмет аномалий безопасности для эффективной защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
19-11-2025

Reframing Insights

https://chollima-group.io/posts/reframing-insights-our-research-msmt

Report completeness: Low

Actors/Campaigns:
Moonstone_sleet
Detankwar
Babylongroup

Victims:
Freelance platforms, Art and decoration services, Crypto ecosystem

Industry:
Transport, Telco, Healthcare, Maritime

Geo:
Tanzania, Middle east, Russia, Laos, Guinea, Russian, China, Africa, Korea, Chinese, American, Hong kong, Oman, Seychelles, Dprk, North korean, Vietnam, Nigeria, Armenia, Bangladesh, Iraq, North koreans, Nigerian, Korean, North koreas

IOCs:
File: 1
Email: 40
IP: 1
Url: 4

Soft:
Instagram, Chrome

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете MSMT описывается деятельность северокорейских ИТ-специалистов в Африке, в частности одного фрилансера, известного как Дэвид Орион, который работает с 2017 года и разработал приложение под названием FlippedWorld. Хотя отмечена активность с нигерийских IP-адресов, физическое присутствие в Нигерии подтверждено не было; однако связи с местными преступными группировками предполагают потенциальное сотрудничество. В отчете также обсуждаются связи между северокорейскими ИТ-работниками и APT-группировкой Moonstone Sleet, что указывает на изощренный подход к обходу санкций и участию в кибероперациях, особенно в сфере криптовалют.
-----

В недавнем отчете Многосторонней группы по мониторингу санкций (MSMT) освещалась деятельность северокорейских ИТ-специалистов (КНДР) в различных африканских странах, включая Танзанию, Гвинею, Экваториальную Гвинею и Нигерию. Примечательно, что конкретный ИТ-специалист, работающий в Конакри, Гвинея, был активен примерно с 2017 года и использовал онлайн-персонажей Дэвида Ориона, Билла Онейла и Генже Ву. Этот человек сосредоточился на сайтах фриланса и разработал приложение с эффектом камеры под названием FlippedWorld, ранее размещенное в Apple App Store.

В то время как MSMT выявила повышенную активность ИТ-работников КНДР с нигерийских IP-адресов, по-прежнему нет никаких свидетельств физического присутствия в Нигерии. Однако предыдущее исследование установило связи между нигерийскими преступными группировками и ИТ-работниками КНДР, что указывает на потенциальное сотрудничество, которое могло бы способствовать кибероперациям.

Кроме того, в отчете зафиксирована группа северокорейских художников, действовавших в странах Персидского залива (Оман и ОАЭ) в период с 2008 по 2015 год, предположительно работавших на подставные компании, связанные с попавшей под санкции корейской торговой корпорацией Paekho. Деятельность этих артистов указывает на использование культурных и художественных прикрытий для поддержки незаконных финансовых и оперативных целей, связанных с нарушениями санкций КНДР.

Кроме того, Бюро 61, которое начало развертывать делегации ИТ-специалистов в 2021 году, связано с различными подставными компаниями, работающими в таких регионах, как Владивосток и Шэньян, что предполагает более широкую инфраструктуру для киберопераций КНДР, выходящую за рамки традиционных технологических сфер.

В критическом выводе обсуждалась связь некоторых ИТ-работников с APT-группировкой, известной как Moonstone Sleet, выявляя текущие стратегические повороты и адаптации в ландшафте киберугроз КНДР, особенно в отношении криптовалютных операций. В целом, в докладе подчеркиваются изощренные и эволюционирующие стратегии, применяемые кибероператорами КНДР, использующими целый ряд международных баз для обхода санкций и участия в незаконной деятельности.