据Fortinet FortiGuard Labs观察，疑似与朝鲜民主主义人民共和国（DPRK）关联的威胁行为体正在利用GitHub作为命令控制（C2）基础设施，对韩国组织实施多阶段攻击。

攻击链以混淆的Windows快捷方式（LNK）文件为起点，投放诱饵PDF文档和PowerShell脚本，为下一阶段攻击做准备。据评估，这些LNK文件通过钓鱼邮件分发。

载荷下载后，受害者看到PDF文档，同时恶意PowerShell脚本在后台静默运行。该脚本扫描虚拟机、调试器和取证工具相关运行进程以抵抗分析，检测到任一进程即立即终止。

否则，脚本提取Visual Basic脚本（VBScript），通过计划任务设置持久化——每30分钟在隐藏窗口启动PowerShell载荷以规避检测，确保系统每次重启后自动执行。

随后，PowerShell脚本分析受感染主机，将结果保存至日志文件，并使用硬编码访问令牌外泄至”motoralis”账户创建的GitHub仓库。该活动创建的GitHub账户还包括”God0808RAMA”、”Pigresy80″、”entire73″、”pandora0009″和”brandonleeodd93-blip”等。

脚本随后解析同一GitHub仓库中的特定文件以获取额外模块或指令，使运营者能够利用GitHub等平台的信任关系混入其中，维持对受感染主机的持久控制。

Fortinet表示，该活动早期迭代曾依赖LNK文件传播Xeno RAT等恶意软件家族。值得注意的是，去年ENKI和Trellix曾记录利用GitHub C2分发Xeno RAT及其变种MoonPeak的攻击，这些攻击被归因于朝鲜国家支持的组织Kimsuky。

安全研究员Cara Lin表示：”威胁行为体不依赖复杂的定制恶意软件，而是使用原生Windows工具进行部署、规避和持久化。通过最小化投放PE文件的使用并利用LolBins，攻击者能够以低检测率瞄准广泛受众。”

此次披露恰逢AhnLab详细介绍Kimsuky类似的基于LNK的感染链，最终导致基于Python的后门部署。

LNK文件如前所述执行PowerShell脚本，在”C:\windirr”路径创建隐藏文件夹以存放载荷，包括诱饵PDF和另一个伪装成Hangul文字处理器（HWP）文档的LNK文件。同时还部署中间载荷以设置持久化并启动PowerShell脚本，后者使用Dropbox作为C2通道获取批处理脚本。

批处理文件随后从远程服务器（”quickcon[.]store”）下载两个独立的ZIP文件片段，合并为单一档案，从中提取XML任务调度器和Python后门。任务调度器用于启动植入程序。

该基于Python的恶意软件支持下载额外载荷并执行C2服务器发出的命令，可运行shell脚本、列出目录、上传/下载/删除文件，以及运行BAT、VBScript和EXE文件。

这些发现也恰逢ScarCruft从传统LNK攻击链转向基于HWP OLE的投放器以投递RokRAT——该远控木马为朝鲜黑客组织独家使用。据S2W称，具体而言，恶意软件作为OLE对象嵌入HWP文档，通过DLL侧加载执行。

这家韩国安全公司表示：”与之前从LNK投放BAT脚本到shellcode的攻击链不同，本案例证实使用新开发的投放器和下载器恶意软件来投递shellcode和ROKRAT载荷。”