Pesquisadores da FortiGuard Labs descobriram uma série de ataques que utilizam arquivos LNK, explorando a API do GitHub para extração de dados e manutenção de acesso contínuo a sistemas comprometidos.
Uma campanha de espionagem cibernética foi identificada, focando em empresas na Coreia do Sul, onde os atacantes estão utilizando a API do GitHub como infraestrutura de comando e controle (C2). A investigação sugere que esses ataques são realizados por criminosos norte-coreanos.
Os ataques utilizam arquivos LNK para provocar uma infecção em três etapas, permitindo que os atacantes mantenham acesso prolongado a sistemas comprometidos sem a necessidade de servidores próprios.
Arquivo LNK disfarçado de documento
O vetor inicial é um arquivo .LNK que provavelmente é entregue via phishing. Esses arquivos são atalhos do Windows e podem carregar comandos que executam funções no sistema. Os atacantes utilizam essa característica para iniciar a infecção sem alarde.
O arquivo é disfarçado como um documento corporativo legítimo, utilizando títulos relevantes para enganar as empresas-alvo. Ao ser clicado pela vítima, o atalho executa uma função de decodificação inserida nos argumentos.
Essa função extrai dois componentes: um PDF falso, que é exibido visivelmente para não levantar suspeitas, e um script PowerShell que roda em segundo plano, sem janela visível.
Versões anteriores desses arquivos, rastreadas desde 2024, tinham metadados que os identificavam. O campo “Name” era definido como “Hangul Document”, associado a grupos norte-coreanos como Kimsuky, APT37 e Lazarus. Nas versões mais recentes, esses metadados foram removidos, evidenciando um refinamento nas técnicas de evasão dos atacantes.
PowerShell verifica o ambiente antes de agir
No segundo estágio, o script PowerShell começa verificando se está sendo analisado. Ele examina os processos ativos em busca de ferramentas utilizadas por analistas de segurança.
A lista inclui ambientes de máquina virtual, analisadores de tráfego e debuggers. Se qualquer ferramenta desse tipo for detectada, o script encerra imediatamente.
Uma vez confirmado que o ambiente é legítimo, o script estabelece persistência. Ele cria um arquivo VBScript configurado para rodar o payload em uma janela oculta e registra uma tarefa agendada disfarçada, que roda a cada 30 minutos mesmo após reinicializações.
Em seguida, o script coleta informações do sistema infectado, incluindo a versão do sistema operacional e lista de processos ativos, salvando essas informações em um arquivo de log que é enviado para um repositório privado no GitHub através da API. A autenticação é feita com um token de acesso hardcoded no código.
O repositório identificado pertence à conta motoralis, que faz parte de uma rede de contas associadas, como God0808RAMA e Pigresy80, evidenciando uma gestão estratégica. Algumas contas permanecem inativas por meses enquanto outras são ativadas para oferecer redundância operacional, uma prática comum entre grupos com recursos planejados a longo prazo.
Terceiro estágio mantém conexão contínua com o atacante
No último estágio, o script atua como um agente de checagem contínua. A cada 30 minutos, através da tarefa agendada, busca novas instruções ou módulos no repositório GitHub do atacante.
Um script adicional de keep-alive coleta a configuração da rede da máquina comprometida e a faz upload para o GitHub, gerando logs em tempo real com data, hora e endereço IP da vítima. Esse fluxo contínuo permite que o atacante monitore a máquina e envie novos comandos ou ferramentas sem abrir uma conexão direta, o que facilitaria a detecção.
Por que o GitHub é um C2 difícil de bloquear
O uso do GitHub como um canal de comando e controle é o ponto central da campanha. Todo o tráfego malicioso utiliza HTTPS em domínios legítimos, tornando as atividades criminosas praticamente indistinguíveis do uso normal da plataforma por desenvolvedores.
O GitHub é frequentemente permitido em firewalls corporativos e possui uma alta reputação em sistemas de filtragem de URLs, permitindo que a comunicação com o C2 passe despercebida pela maioria das soluções de segurança.
Ao operar exclusivamente em repositórios privados, o atacante mantém os payloads e logs exfiltrados completamente ocultos.
Indicadores apontam para grupos norte-coreanos
A FortiGuard Labs ainda não associou formalmente os ataques, mas os indicadores são consistentes com as atividades de grupos norte-coreanos. O padrão de nomenclatura “Hangul Document” nos arquivos LNK anteriores tem sido uma identificação documentada de Kimsuky, APT37 e Lazarus.
O foco em empresas sul-coreanas e o uso do XenoRAT, malware vinculado a campanhas da Coreia do Norte, reforçam essa avaliação. A campanha segue uma tendência crescente entre grupos de espionagem patrocinados por estados.
Acompanhe a TecMania para mais informações sobre o assunto. Inscreva-se em nossa newsletter e canal do YouTube para mais atualizações sobre segurança e tecnologia.