Noord-Koreaanse dreigingsactoren richten zich op Oekraïense overheidsinstanties
In februari 2025 begon TA406, een door Noord-Korea gesponsorde dreigingsactor, zich te richten op overheidsinstanties in Oekraïne. Zowel credential harvesting als malware werden ingezet in phishingcampagnes. Het vermoedelijke doel van deze campagnes is het verzamelen van inlichtingen over het verloop van de Russische invasie. TA406 overlapt met activiteiten die door derde partijen publiekelijk worden gevolgd als Opal Sleet en Konni. De interesse van de groep in Oekraïne bouwt voort op eerdere targetting van overheidsinstanties in Rusland voor strategische inlichtingenverzameling. TA406 gebruikt freemailafzenders die zich voordoen als leden van denktanks om doelwitten te overtuigen om de phishing-e-mail te beantwoorden. De inhoud van het lokmiddel is sterk gebaseerd op recente gebeurtenissen in de Oekraïense binnenlandse politiek.
Sinds ten minste 2019 heeft TA406 een voorkeur getoond om in de vroege stadia van malware-implementatiecampagnes HTML- en CHM-bestanden te gebruiken voor het uitvoeren van embedded PowerShell-opdrachten. In een TA406-campagne uit februari 2025 deden de lokmails zich voor als een fictieve senior fellow bij een niet-bestaande denktank, het Royal Institute of Strategic Studies. De e-mail bevat een link naar de file hosting service MEGA, die leidt tot het downloaden van een met wachtwoord beveiligd RAR-archief. Wanneer het bestand wordt gedecodeerd en uitgevoerd, initieert het een infectieketen met behulp van PowerShell om uitgebreide reconnaissance uit te voeren op de doelhost. De actor stuurde meerdere phishing-e-mails op opeenvolgende dagen toen het doelwit niet op de link klikte. In deze vervolgmail werd het doelwit gevraagd of eerdere e-mails waren ontvangen en werd nogmaals verzocht de bestanden te downloaden.
Volgens Proofpoint richt TA406 zich op Oekraïense overheidsinstanties om beter te begrijpen in hoeverre zij bereid zijn het gevecht tegen de Russische invasie voort te zetten. Daarbij proberen ze een inschatting te maken van de voorruitzichten van het conflict op middellange termijn. Noord-Korea heeft in het najaar van 2024 troepen ingezet om Rusland te helpen en TA406 verzamelt zeer waarschijnlijk inlichtingen om de Noord-Koreaanse leiders te helpen het huidige risico voor hun troepen in het strijdgebied te beoordelen. Ook proberen zij vast te stellen hoe waarschijnlijk het is dat Rusland om extra troepen of wapens zal vragen. In tegenstelling tot Russische groepen, die waarschijnlijk de opdracht hebben gekregen om tactische informatie over het slagveld te verzamelen en Oekraïense troepen ter plaatse aan te vallen, richt TA406 zich doorgaans op strategische, politieke inlichtingenverzameling.
Meer over
Lees ook
‘Belgische overheidsinstellingen geen doelwit van Russische cyberspionnen’
Belgische overheidsinstellingen worden net als Nederlandse overheden zijn steeds vaker doelwit van cyberaanvallen. In tegenstelling tot Nederland zijn er in België echter geen aanwijzingen dat deze aanvallen afkomstig zijn uit Rusland. Dit zegt Managing Director van het Centrum voor Cybersecurity België Miguel De Bruycker tegen De Tijd, meldt HLN1
Bedrijfsgeheimen gestolen van Duitse staalgigant ThyssenKrupp
De Duitse staalfabrikant ThyssenKrupp is eerder dit jaar slachtoffer geworden van cyberspionage. Hierbij zijn bedrijfsgeheimen van de organisatie in handen gevallen van de aanvallers. Dit maakt ThyssenKrupp bekend tegenover het Duitse Wirtschaftwoche. De staalfabrikant spreekt van een professionele aanval die was gericht op verschillende afdelinge1
Nederlandse Onderzoeksraad voor Veiligheid doelwit van cyberspionage
De Nederlandse Onderzoeksraad voor Veiligheid is doelwit geweest van een geavanceerde cybercrimecampagne, die vermoedelijk door Rusland is opgezet. Dit meldt Trend Micro, dat de campagne ‘Pawn Storm’ noemt. Feike Hacquebord, Senior Threat Researcher bij Trend Micro, schrijft in een blogpost dat de onderzoeksraad doelwit is geweest van cyberaanvall1