كشفت شركة الأمن السيبراني Seqrite عن حملة تصيّد احتيالي واسعة النطاق قادتها مجموعة APT37 المدعومة من كوريا الشمالية، عُرفت باسم «عملية هانكوك فانتوم». وأفاد التقرير الصادر في 29 أغسطس 2025 أن القراصنة استخدموا وثائق حساسة ذات صلة مباشرة بقطاع الاستخبارات والأمن القومي في كوريا الجنوبية كطُعم لاستهداف موظفين حكوميين وخبراء أكاديميين. وأوضح الباحثون أن المهاجمين اعتمدوا في المرحلة الأولى على نسخة مزيّفة من «النشرة الدورية لجمعية البحوث الاستخباراتية الوطنية – العدد 52» لإغراء الضحايا بفتح ملف يحتوي على اختصار خبيث (LNK) يخفي حمولة ضارة. بمجرد تنفيذ الملف، يبدأ بتنزيل برمجية خلفية معروفة باسم RokRAT، وهي أداة تجسسية استُخدمت سابقاً من قبل المجموعة نفسها في حملات أخرى، بهدف اختراق الأنظمة وسرقة البيانات. واستهدفت هذه الحملة عدداً من المؤسسات، من بينها جمعية البحوث الاستخباراتية الوطنية، وجامعات كبرى مثل كوانغوون وكوريا، إضافة إلى معاهد استراتيجية ومراكز بحثية متخصصة في قضايا الأمن والطاقة والعمل.
بيانات وهمية من كوريا الشمالية وتحليل يؤكد اعتماد APT37 على أساليب متقدمة للهجوم
في المرحلة الثانية من الحملة، لجأ القراصنة إلى استغلال بيان رسمي صادر عن كيم يو-جونغ، شقيقة الزعيم الكوري الشمالي كيم جونغ-أون، لتصميم وثائق مزيّفة تتضمن خطاباً سياسياً رافضاً لأي مساعٍ للتقارب مع كوريا الجنوبية. واستُخدمت هذه الوثيقة لإطلاق سلسلة هجمات مشابهة عبر ملفات اختصار خبيثة تُخفي مكونات ضارة داخل مجلد النظام المؤقت (%TEMP%)، قبل أن تقوم بتنفيذ هجوم بلا ملفات يعتمد على PowerShell لتنزيل حمولة إضافية من خوادم تحكم وسيطرة. وتميزت هذه الهجمات باستخدام تقنيات متقدمة للتخفي، مثل إخفاء الاتصالات ضمن طلبات HTTP مزيّفة، وتنفيذ الأوامر في الذاكرة مباشرة، إلى جانب حذف جميع الآثار بعد التنفيذ. واستهدفت هذه المرحلة جهات حساسة من بينها حكومة لي جاي-ميونغ، ووزارة التوحيد، والتحالف العسكري مع الولايات المتحدة، إضافة إلى هيئات اقتصادية مثل منتدى التعاون الاقتصادي لآسيا والمحيط الهادئ (APEC). وأكد التقرير أن APT37 تواصل تطوير قدراتها في مجال التجسس الإلكتروني عبر حملات تصيّد دقيقة التخصيص، تجمع بين استغلال الوثائق الموثوقة وأساليب متطورة مثل التحميل الخفي، التنفيذ عبر الذاكرة، وآليات تسريب البيانات المتخفية.
