تم ربط جهة تهديد مدعومة من حكومة كوريا الشمالية بهجمات تستهدف أفراد الحكومة والعسكريين ومراكز الفكر وصناع السياسات والأكاديميين والباحثين في كوريا الجنوبية والولايات المتحدة.
تتعقب مجموعة تحليل التهديدات (TAG) من Google المجموعة تحت اسم ARCHIPELAGO ، والتي قالت إنها مجموعة فرعية من مجموعة تهديد أخرى تتبعها Mandiant تحت اسم APT43 .
قالت شركة التكنولوجيا العملاقة إنها بدأت في مراقبة طاقم القرصنة في عام 2012 ، مضيفة أنها "لاحظت أن المجموعة تستهدف الأفراد ذوي الخبرة في قضايا السياسة في كوريا الشمالية مثل العقوبات وحقوق الإنسان وقضايا عدم الانتشار".
يقال إن أولويات APT43 ، وبالتبعية ARCHIPELAGO ، تتماشى مع مكتب الاستطلاع العام في كوريا الشمالية (RGB) ، جهاز المخابرات الأجنبية الأساسي ، مما يشير إلى وجود تداخل مع مجموعة معروفة على نطاق واسع باسم Kimsuky.
تتضمن سلاسل الهجوم التي ينظمها ARCHIPELAGO استخدام رسائل البريد الإلكتروني المخادعة التي تحتوي على روابط ضارة ، والتي عند النقر عليها من قبل المستلمين ، تعيد التوجيه إلى صفحات تسجيل الدخول المزيفة المصممة لجمع بيانات الاعتماد.
تزعم هذه الرسائل أنها من وسائل الإعلام ومراكز الفكر وتسعى إلى إغراء الأهداف بذريعة طلب مقابلات أو معلومات إضافية حول كوريا الشمالية.
وقالت TAG: "تستثمر ARCHIPELAGO الوقت والجهد لبناء علاقة مع الأهداف ، وغالبًا ما تتواصل معهم عبر البريد الإلكتروني على مدار عدة أيام أو أسابيع قبل إرسال رابط أو ملف ضار في النهاية".
من المعروف أيضًا أن ممثل التهديد يستخدم تقنية المتصفح في المتصفح ( BitB ) لعرض صفحات تسجيل الدخول المارقة داخل نافذة فعلية لسرقة بيانات الاعتماد.
علاوة على ذلك ، تم طرح رسائل التصيد الاحتيالي كتنبيهات أمان لحساب Google لتنشيط العدوى ، مع استضافة حمولات البرامج الضارة مثل BabyShark على Google Drive في شكل ملفات فارغة أو صور قرص بصري ISO.
هناك تقنية أخرى بارزة اعتمدتها ARCHIPELAGO وهي استخدام امتدادات Google Chrome الاحتيالية لجمع البيانات الحساسة ، كما يتضح من الحملات السابقة المسماة Stolen Pencil و SharpTongue .
يأتي هذا التطوير في الوقت الذي قام فيه مركز AhnLab للاستجابة لحالات الطوارئ الأمنية (ASEC) بتفصيل استخدام Kimsuky لتيار البيانات البديل (ADS) وملفات Microsoft Word المُسلَّحة لتقديم برامج ضارة لسرقة المعلومات.