Een hackersgroep met banden met de Noord-Koreaanse staat heeft online advertentienetwerken van het Amerikaanse technologiebedrijf Google en het Zuid-Koreaanse webportaal Naver misbruikt om malware te leveren aan nietsvermoedende gebruikers, volgens een cybersecurityrapport. De campagne, door onderzoekers gevolgd als “Operatie Poseidon”, gebruikte legitieme advertentie-URL’s om kwaadaardige links te bouwen die beveiligingsfilters omzeilen en verspreiding van malware verbergen.
De activiteit werd geanalyseerd door Genians Security Center , een cybersecuritybedrijf gevestigd in Zuid-Korea. Het rapport schrijft de operatie toe aan Konni, een geavanceerde persistente dreigingsgroep die verbonden is aan door Pyongyang gesteunde cyberoperaties. De onderzoekers ontdekten dat aanvallers malware-leveringsmechanismen inbed in advertentie-clicktracking- en omleidingssystemen, die een normaal onderdeel zijn van online advertentie-infrastructuur.
In plaats van malware te hosten op duidelijk kwaadaardige domeinen, gebruikten de aanvallers omleidingsketens die begonnen met schijnbaar legitieme advertentielinks op Google en Naver. Deze links leidden slachtoffers door een reeks omleidingen voordat ze op door aanvallers gecontroleerde servers terechtkwamen die de uitvoering van malware startten. Deze methode stelde de links in staat conventionele beveiligingsmaatregelen te omzeilen die webverkeer op dreigingen inspecteren.
De malware-payload die in de campagne werd geïdentificeerd was EndRAT, een remote access-tool die in een vermomde vorm werd geleverd. De aanvallers gebruikten een AutoIt-script dat zich voordeed als een onschuldig PDF-bestand om de malware op slachtoffersystemen uit te voeren. De onderzoekers merkten op dat de operatie een zekere mate van technische verfijning toonde, inclusief ontwikkelidentificaties die wijzen op doorlopend onderhoud en evolutie van de toolkit die door de hackers werd gebruikt.
Een deel van de strategie van de aanvallers bestond uit social engineering-technieken om de perceptie van legitimiteit te vergroten. Volgens het rapport bevatten de e-mails die bij de operatie horen lange blokken irrelevante Engelse tekst, bedoeld om geautomatiseerde detectiesystemen te verwarren en de kans te verkleinen dat filters de berichten als kwaadaardig markeren.
De analyse van Genians koppelde de waargenomen activiteit aan eerdere campagnes van Konni, gebaseerd op overlappingen in infrastructuur en malwarecomponenten. Het rapport stelde dat de groep een geschiedenis heeft van social engineering-aanvallen, waaronder het nadoen van organisaties zoals mensenrechtenorganisaties en financiële instellingen in Zuid-Korea.
Beveiligingsonderzoekers hebben een bredere trend gedocumenteerd waarbij dreigingsactoren vertrouwde platforms en bekende workflows gebruiken om malware te verspreiden en detectie te ontwijken. In enkele recente incidenten met betrekking tot aan Noord-Korea gelieerde groepen hebben kwaadwillenden ook tools zoals QR-codes gebruikt in speer-phishingcampagnes om bedrijfsbeveiligingsmaatregelen te omzeilen door slachtoffers naar kwaadaardige inhoud op mobiele apparaten te leiden.
De operatie benadrukt de uitdagingen bij het veiligstellen van complexe online advertentie-ecosystemen tegen misbruik. Advertentieplatforms vertrouwen vaak op omleidings- en volgmechanismen die door kwaadwillenden kunnen worden hergebruikt om schadelijke activiteiten te verbergen. Het rapport benadrukt de noodzaak van verbeterde monitoring- en dreigingsdetectiemogelijkheden die kwaadaardig verkeer binnen legitiem ogende advertentie-infrastructuur kunnen identificeren en blokkeren.
De bredere context van staatsgelinkte cyberoperaties die aan Noord-Koreaanse groepen worden toegeschreven, omvat een reeks tactieken zoals spear-phishing, verspreiding van spyware en het misbruiken van apparaatbeheerservices, wat een evoluerende dreigingsomgeving illustreert die webgebruikers en organisaties wereldwijd als doelwit heeft.