Nowy raport południowokoreańskiego instytutu bezpieczeństwa ujawnia złożony atak hakerów powiązanych z reżimem w Pjongjangu. Zainfekowane urządzenia były zdalnie resetowane, a dane użytkowników — bezpowrotnie kasowane.
Hakerzy powiązani z Koreą Północną opracowali nowy typ cyberataku, który pozwala im zdalnie kontrolować smartfony z Androidem oraz komputery osobiste. Tak wynika z najnowszego raportu Genians Security Center (GSC), południowokoreańskiego ośrodka zajmującego się cyberbezpieczeństwem.
Według ekspertów cyberprzestępcy, najprawdopodobniej związani z grupami Kimsuky lub APT37, rozpowszechniali złośliwe oprogramowanie za pośrednictwem popularnego komunikatora KakaoTalk. Po zainfekowaniu urządzenia, malware kradł dane logowania do kont Google oraz lokalnych serwisów IT, a następnie wykorzystywał je do dalszej infiltracji.
Zdalne kasowanie danych i blokada komunikacji
Po potwierdzeniu, że użytkownik znajduje się poza domem lub biurem – przy użyciu systemu lokalizacji Google – hakerzy zdalnie resetowali smartfony ofiar. Uniemożliwiało to prawidłowe działanie urządzenia i blokowało powiadomienia z aplikacji, takich jak komunikatory, co skutecznie opóźniało wykrycie ataku.
W tym czasie z urządzeń ofiar kasowano wszystkie kluczowe dane. W tym zdjęcia, dokumenty i kontakty.
Co więcej, infekcja rozprzestrzeniała się dalej. Z zainfekowanych komputerów i tabletów hakerzy rozsyłali kolejne pliki podszywające się pod „programy antystresowe” do znajomych ofiar.
Możliwy monitoring przez kamery
Raport GSC sugeruje, że cyberprzestępcy mogli również wykorzystywać kamery internetowe, aby sprawdzić, czy ofiary są w domu. Oznacza to, że w ramach ataku dochodziło nie tylko do przejęcia urządzeń, ale także monitorowania fizycznej aktywności użytkowników.
Zdaniem ekspertów z GSC, to połączenie unieruchomienia urządzeń i rozprzestrzeniania się przez konta użytkowników stanowi „bezprecedensową” taktykę w historii północnokoreańskich operacji cybernetycznych.
– To dowód na dojrzałość taktyczną i zaawansowaną strategię unikania wykrycia. Możemy mówić o punkcie zwrotnym w rozwoju metod APT – podkreślają autorzy raportu.
Czym są APT?
Termin APT (Advanced Persistent Threat) odnosi się do zaawansowanych, długotrwałych ataków cybernetycznych, które prowadzone są przez dobrze zorganizowane grupy – często sponsorowane przez państwa. Celem takich operacji jest nie tylko kradzież danych, ale też długofalowa infiltracja systemów strategicznych, np. administracji publicznej, wojska czy dużych firm technologicznych.
Szerszy kontekst
Korea Północna od lat rozwija potencjał w zakresie cyberwojny i szpiegostwa cyfrowego, traktując cyberataki jako jeden z głównych sposobów obchodzenia sankcji i zdobywania informacji wywiadowczych. Grupy takie jak Kimsuky i APT37 były wcześniej kojarzone m.in. z atakami phishingowymi na południowokoreańskie instytucje rządowe i firmy obronne.
Nowy atak pokazuje jednak, że taktyka Pjongjangu ewoluuje — od kradzieży danych do aktywnego niszczenia informacji i dezorganizacji życia ofiar.
Foto: Qwen3/AI.