لوحظت مجموعة التهديد المستمر المتقدم (APT) المعروفة باسم "كوني"، والتي يُشتبه في صلتها بكوريا الشمالية، وهي تنفذ حملة تجسس إلكتروني متطورة تستهدف كيانات روسية. تستغل هذه العملية الأخيرة سلسلة إصابة متعددة المراحل تبدأ برسائل البريد الإلكتروني التصيدية وتنتهي بنشر حصان الوصول عن بُعد (RAT) المعروف باسم EndRAT. إن التعقيد التقني للحملة واستخدام منصات الاتصال الكورية الجنوبية المشروعة لنشر البرامج الضارة يؤكد على تطور تكتيكات المجموعة والتهديد المستمر الذي تشكله على المنظمات الدبلوماسية والحكومية.
تبدأ الهجوم برسالة بريد إلكتروني تصيدية تحتوي على مستند Microsoft Word خبيث. يستخدم هذا المستند، الذي غالبًا ما يتم تمويهه على أنه تقرير أو اتصال رسمي، الهندسة الاجتماعية لخداع المستلم لتمكين وحدات الماكرو. بمجرد التمكين، تنفذ وحدات الماكرو نص PowerShell الذي يقوم بتنزيل وتشغيل الحمولة النافعة للمرحلة التالية من خادم بعيد. هذه الحمولة الوسيطة هي أداة تنزيل قائمة على .NET، وهي مسؤولة عن جلب وتنفيذ الحمولة النهائية لبرنامج RAT، وهي EndRAT، على نظام الضحية. يوفر EndRAT للمهاجمين تحكمًا عن بُعد شاملاً، مما يتيح سرقة البيانات والمراقبة والتغلغل الإضافي في الشبكة.
من الجوانب البارزة بشكل خاص في هذه الحملة هو استخدام المجموعة لتطبيق المراسلة الكوري الجنوبي الشهير، KakaoTalk، لاتصالات القيادة والتحكم (C2). حدد الباحثون الأمنيون أن البرنامج الضار يستخدم ميزة "Note to Self" في KakaoTalk – وهي وظيفة تُستخدم عادةً للمذكرات الشخصية – لتصدير البيانات المسروقة واستقبال الأوامر من المشغلين. تتيح هذه التقنية، المعروفة باسم "العيش على الأرض"، للبرنامج الضار الاندماج مع حركة مرور التطبيقات العادية والمشفرة، مما يجعل الكشف بواسطة أدوات أمن الشبكات التقليدية أكثر صعوبة بشكل كبير. يمثل هذا تحولًا عن استخدام بروتوكولات HTTP القياسية أو البروتوكولات المخصصة إلى إساءة استخدام تطبيقات المستهلك الموثوقة.
ركزت أنشطة مجموعة كوني تاريخيًا على جمع المعلومات الاستخباراتية، مع اهتمام ثابت بالمنظمات الدبلوماسية والحكومية والبحثية. تتماشى هذه الحملة مع هذا النمط، مما يشير إلى أن الهدف هو سرقة معلومات استخباراتية جيوسياسية حساسة. يوضح استخدام EndRAT، وهي أداة مرتبطة سابقًا بهذه المجموعة، وطريقة C2 المبتكرة عبر KakaoTalk، التزامهم بصقل حرفتهم. يجب على المنظمات، خاصة تلك في القطاعات ذات الأهمية الاستراتيجية، تعزيز الدفاعات ضد التصيد المستهدف، وتقييد تنفيذ وحدات الماكرو، ومراقبة حركة مرور الشبكة غير الطبيعية – حتى من التطبيقات الموثوقة – لتخفيف المخاطر من مثل هذه التهديدات المتطورة والمتجنبة.
