文章总结： FortiGuardLabs发现朝鲜黑客组织Kimsuky利用GitHub作为C2基础设施攻击韩国目标，攻击链以钓鱼邮件携带的LNK文件为起点，通过PowerShell脚本实现虚拟机检测规避、持久化驻留及信息窃取，并利用GitHub仓库进行数据外传和指令控制。该活动凸显攻击者滥用合法平台和原生工具降低检测率的趋势，建议企业加强邮件安全检测和云服务异常访问监控。 综合评分： 82 文章分类： 威胁情报,漏洞分析,恶意软件,渗透测试,红队

【安全圈】朝鲜关联黑客利用 GitHub 作为 C2 基础设施攻击韩国

安全圈

2026年4月7日 19:01 江苏

关键词

黑客

据Fortinet FortiGuard Labs观察，疑似与朝鲜民主主义人民共和国（DPRK）关联的威胁行为体正在利用GitHub作为命令控制（C2）基础设施，对韩国组织实施多阶段攻击。

攻击链以混淆的Windows快捷方式（LNK）文件为起点，投放诱饵PDF文档和PowerShell脚本，为下一阶段攻击做准备。据评估，这些LNK文件通过钓鱼邮件分发。

载荷下载后，受害者看到PDF文档，同时恶意PowerShell脚本在后台静默运行。该脚本扫描虚拟机、调试器和取证工具相关运行进程以抵抗分析，检测到任一进程即立即终止。

否则，脚本提取Visual Basic脚本（VBScript），通过计划任务设置持久化——每30分钟在隐藏窗口启动PowerShell载荷以规避检测，确保系统每次重启后自动执行。

随后，PowerShell脚本分析受感染主机，将结果保存至日志文件，并使用硬编码访问令牌外泄至”motoralis”账户创建的GitHub仓库。该活动创建的GitHub账户还包括”God0808RAMA”、”Pigresy80″、”entire73″、”pandora0009″和”brandonleeodd93-blip”等。

脚本随后解析同一GitHub仓库中的特定文件以获取额外模块或指令，使运营者能够利用GitHub等平台的信任关系混入其中，维持对受感染主机的持久控制。

Fortinet表示，该活动早期迭代曾依赖LNK文件传播Xeno RAT等恶意软件家族。值得注意的是，去年ENKI和Trellix曾记录利用GitHub C2分发Xeno RAT及其变种MoonPeak的攻击，这些攻击被归因于朝鲜国家支持的组织Kimsuky。

安全研究员Cara Lin表示：”威胁行为体不依赖复杂的定制恶意软件，而是使用原生Windows工具进行部署、规避和持久化。通过最小化投放PE文件的使用并利用LolBins，攻击者能够以低检测率瞄准广泛受众。”

此次披露恰逢AhnLab详细介绍Kimsuky类似的基于LNK的感染链，最终导致基于Python的后门部署。

LNK文件如前所述执行PowerShell脚本，在”C:\windirr”路径创建隐藏文件夹以存放载荷，包括诱饵PDF和另一个伪装成Hangul文字处理器（HWP）文档的LNK文件。同时还部署中间载荷以设置持久化并启动PowerShell脚本，后者使用Dropbox作为C2通道获取批处理脚本。

批处理文件随后从远程服务器（”quickcon[.]store”）下载两个独立的ZIP文件片段，合并为单一档案，从中提取XML任务调度器和Python后门。任务调度器用于启动植入程序。

该基于Python的恶意软件支持下载额外载荷并执行C2服务器发出的命令，可运行shell脚本、列出目录、上传/下载/删除文件，以及运行BAT、VBScript和EXE文件。

这些发现也恰逢ScarCruft从传统LNK攻击链转向基于HWP OLE的投放器以投递RokRAT——该远控木马为朝鲜黑客组织独家使用。据S2W称，具体而言，恶意软件作为OLE对象嵌入HWP文档，通过DLL侧加载执行。

这家韩国安全公司表示：”与之前从LNK投放BAT脚本到shellcode的攻击链不同，本案例证实使用新开发的投放器和下载器恶意软件来投递shellcode和ROKRAT载荷。”

END

阅读推荐

【安全圈】俄罗斯打击VPN致全国银行瘫痪

【安全圈】用户隐私遭泄露，OpenClaw被黑客”PUA”成内鬼

【安全圈】3月勒索软件攻势创纪录

【安全圈】抖音网页版突发网络崩溃，用户访问受阻

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】朝鲜关联黑客利用 GitHub 作为 C2 基础设施攻击韩国》