Nordkoreanische APT-Gruppen wie Kimsuky und ScarCruft verlagern ihre Command-and-Control-Infrastruktur (C2) zunehmend auf legitime Cloud-Dienste wie GitHub und Dropbox. Aktuelle Analysen von Fortinet FortiGuard Labs, AhnLab und S2W zeigen, dass diese Akteure dabei geschickt LNK-Dateien, PowerShell und eingebaute Windows-Tools (LOLbins) kombinieren, um zielgerichtete Angriffe insbesondere gegen Organisationen in Südkorea zu tarnen.
LNK-Datei als Einstieg: Von Phishing-Mail zu versteckter PowerShell-Malware
Im Zentrum der beobachteten Kampagnen steht ein präparierter Windows-LNK-Shortcut, der typischerweise per Phishing-E-Mail verteilt wird. Beim Öffnen erhält das Opfer einen scheinbar harmlosen PDF-Köder, während im Hintergrund unauffällig ein PowerShell-Skript gestartet wird. Diese Technik erhöht die Klickbereitschaft und erschwert die sofortige Zuordnung zu einer Malware-Infektion.
Das initiale PowerShell-Skript führt zunächst Anti-Analyse-Checks durch. Es durchsucht laufende Prozesse nach virtuellen Maschinen, Debuggern oder forensischen Tools. Werden solche Artefakte erkannt, beendet sich der Code selbst. Diese Form der Umgebungserkennung ist typisch für fortgeschrittene Angriffe und soll Analysen in Laborumgebungen erschweren.
Besteht das System diese Prüfungen, extrahiert PowerShell ein VBScript und richtet Persistenz über den Windows-Aufgabenplaner ein: Eine geplante Aufgabe startet die PowerShell-Nutzlast alle 30 Minuten im Hintergrund. Dadurch behalten die Angreifer langfristigen Zugriff, ohne auf klassische Autostart-Einträge oder auffällige Executables angewiesen zu sein.
GitHub als C2-Kanal: Tarnung im Entwickler-Traffic
Im nächsten Schritt profilieren die Angreifer den kompromittierten Host: Systeminformationen, installierte Software und Umgebungsdaten werden gesammelt, in Log-Dateien geschrieben und anschließend in ein GitHub-Repository hochgeladen. Fortinet berichtet von einem Konto mit dem Namen „motoralis“, das über einen fest im Skript hinterlegten Access-Token angesprochen wird, sowie weiteren verdächtigen Accounts wie „God0808RAMA“, „Pigresy80“, „entire73“, „pandora0009“, „brandonleeodd93-blip“.
Aus demselben Repository liest der Schadcode ein spezielles Steuerungsfile, das weitere Module, Befehle oder Updates nachlädt. Der entstehende C2-Traffic ist für viele Sicherheitslösungen schwer von legitimem Entwicklerverkehr zu unterscheiden, da GitHub in vielen Unternehmen freigegeben und weit verbreitet genutzt wird. Genau dieses „Living-off-the-Cloud“-Prinzip macht die Blockierung auf Netzwerkebene anspruchsvoll.
Von Xeno RAT zu „fileloser“ Malware: Fokus auf LOLBins und Skripte
Frühere Varianten der Kampagne setzten laut Fortinet noch auf klassische Malware-Familien wie Xeno RAT und dessen Variante MoonPeak, die ebenfalls über GitHub ferngesteuert wurden und bereits von ENKI und Trellix mit der Gruppe Kimsuky in Verbindung gebracht wurden. Inzwischen verlagern die Angreifer ihre Taktik hin zu PowerShell, VBScript und System-Utilities, also sogenannten LOLbins (Living off the Land Binaries).
Statt schwergewichtiger, leicht signaturbasierter Erkennung zugänglicher EXE-Dateien nutzen die Angreifer verstärkt native Windows-Komponenten für Verteilung, Ausführung, Persistenz und Umgehung von Sicherheitsmechanismen. Dieser Ansatz reduziert die Angriffsoberfläche für klassische Virenscanner und erfordert von Verteidigern eine stärker verhaltensbasierte und kontextbezogene Überwachung.
Dropbox-C2 und Python-Backdoor: Zweite Kampagne mit ähnlicher LNK-Kette
Eine parallel beobachtete Kampagne, die AhnLab ebenfalls Kimsuky zurechnet, nutzt einen vergleichbaren Einstieg über LNK-Dateien, setzt jedoch auf Dropbox als C2-Kanal. Nach dem Start des LNK-Files legt ein PowerShell-Skript ein verstecktes Verzeichnis „C:\windirr“ an und speichert dort die weiteren Komponenten, darunter einen gefälschten PDF-Köder sowie einen zusätzlichen LNK-Link, der ein Hangul-Word-Processor-Dokument (HWP) imitiert.
Zwischengeschaltete Skripte sorgen erneut für Persistenz und starten ein weiteres PowerShell-Skript, das sich mit Dropbox verbindet und ein Batch-Skript (BAT) herunterlädt. Dieses lädt zwei Teilarchive von einem entfernten Server „quickcon[.]store“, fügt sie zu einem ZIP zusammen und extrahiert daraus eine XML-Aufgabe für den Aufgabenplaner sowie eine Python-Backdoor, die über diese Aufgabe automatisch ausgeführt wird.
Die Python-Implantate unterstützen ein breites Spektrum an Funktionen: von der Nachladung zusätzlicher Module über das Ausführen von Shell-Befehlen bis hin zu Datei-Upload, -Download und -Löschung. Zudem lassen sich BAT-, VBScript- und EXE-Dateien starten. Damit eignet sich der Backdoor sowohl für initiale Spionage als auch für weiterführende Laterale Bewegungen im Netzwerk.
ScarCruft setzt auf HWP-OLE-Dropper und RokRAT
Parallel dazu dokumentiert S2W eine Weiterentwicklung der Gruppe ScarCruft, die anstelle der bislang typischen LNK-Ketten nun OLE-Objekte in HWP-Dokumenten einsetzt. Ziel ist die Verteilung der exklusiv von dieser Gruppe genutzten Remote-Access-Malware RokRAT. Der Schadcode ist als OLE-Objekt in das Dokument eingebettet und wird über DLL-Side-Loading zur Ausführung gebracht.
Im Unterschied zu früheren Abläufen, in denen LNK-Dateien über Batch-Skripte letztlich Shellcode nachluden, verwenden die Angreifer nun maßgeschneiderte Dropper und Loader, um RokRAT gezielt in den Speicher zu bringen. Dies verdeutlicht die kontinuierliche Anpassung von Taktiken, Techniken und Prozeduren (TTPs) nordkoreanischer APTs an aktuelle Abwehrmechanismen.
Schutzmassnahmen: Missbrauch von GitHub, Dropbox und LOLBins erkennen
Unternehmen sollten den Einsatz von PowerShell, wscript, schtasks und anderen Skript-Engines strikt regulieren. Empfehlenswert sind eingeschränkte Ausführungsrichtlinien, zentralisiertes Logging sowie die Auswertung von PowerShell-Befehlen (z. B. ScriptBlock-Logging). Moderne EDR-Lösungen können anomales Verhalten wie wiederkehrende, versteckte PowerShell-Aufrufe oder verdächtige Scheduler-Aufgaben frühzeitig identifizieren.
Im E-Mail-Gateway ist besondere Aufmerksamkeit für LNK-Anhänge sowie Dokumente, die HWP- oder PDF-Dateien imitieren, erforderlich. Dateityp-basierte Filter, Sandbox-Analysen und ein konsequentes Blockieren makroähnlicher Inhalte aus unbekannten Quellen reduzieren die Angriffsfläche erheblich. Regelmäßige Mitarbeiterschulungen zu Phishing und Social Engineering bleiben eine der wirksamsten präventiven Maßnahmen.
Darüber hinaus sollten Security-Teams den Zugriff auf Cloud-Dienste wie GitHub und Dropbox gezielt überwachen. Proxy- und DLP-Regeln, die ungewöhnliche Token-Nutzung, nicht autorisierte Repositories oder auffällige Upload-Muster erkennen, helfen beim Aufspüren von C2-Kommunikation, die sich im legitimen Traffic verstecken will. Eine Überwachung und Härtung des Windows-Aufgabenplaners kann verdächtige, neu angelegte Aufgaben frühzeitig sichtbar machen.
Angesichts der klar erkennbaren Strategie nordkoreanischer Gruppen, legitime Cloud-Infrastrukturen und eingebaute Windows-Funktionalität für verdeckte Operationen zu missbrauchen, sollten Organisationen ihre Bedrohungsmodelle aktualisieren und diese Vektoren explizit berücksichtigen. Wer jetzt in proaktives Threat Hunting, automatisierte Skriptanalyse und kontinuierliche Sensibilisierung der Mitarbeitenden investiert, erhöht die Widerstandskraft seiner Infrastruktur spürbar und erschwert es Angreifern, im Schatten von GitHub, Dropbox und Co. unentdeckt zu operieren.
