Pesquisadores da Forti Guard Labs identificaram uma campanha de espionagem cibernética direcionada a empresas na Coreia do Sul.

Os criminosos abusam da API do Git Hub como infraestrutura de comando e controle (C2).

De acordo com a investigação, os ataques são responsabilidade de criminosos norte-coreanos .

Os ataques usam arquivos LNK para disparar uma cadeia de infecção em três estágios.

Com isso, eles mantêm acesso persistente a sistemas comprometidos sem depender de servidores próprios.

O problema é que eles podem carregar argumentos que executam qualquer comando no sistema, e o atacante explora esse comportamento para iniciar a infecção de forma silenciosa.

O arquivo se apresenta como um documento corporativo legítimo, com títulos alinhados a temas relevantes para as empresas-alvo.

Quando a vítima clica, o atalho executa uma função de decodificação embutida nos próprios argumentos.

Eles são um PDF falso, aberto visivelmente para não levantar suspeitas, e um script Power Shell rodando em segundo plano sem janela visível.

Versões anteriores desses arquivos, rastreáveis desde 2024, continham metadados identificadores.

O campo "Name" recebia o valor "Hangul Document", padrão associado a grupos norte-coreanos como Kimsuky, APT37 e Lazarus .