Хакери з групи TA406, пов’язаної з північнокорейським урядом, провели серію фішингових атак на українські державні інституції, намагаючись отримати стратегічну розвідку щодо готовності України до опору та визначити потреби Росії в подальшій військовій підтримці.
Атаки розпочалися з лютого 2025 року, коли зловмисники, маскуючись під працівників вигаданих аналітичних центрів, надсилали фішингові листи з вкладеними HTML і CHM-файлами. Ці файли містили шкідливі PowerShell-скрипти, що запускали збір системної інформації, списків файлів, даних про антивірусний захист та встановлювали бекдори для постійного доступу. Тематикою листів були політичні події, зокрема, звільнення генерала Залужного.
TA406 також використовували підроблені листи від Microsoft і фейкові ZIP-архіви для крадіжки облікових даних, що свідчить про багаторівневу кампанію. Зібрана інформація передавалася на сервери, що належать TA406, через зашифровані канали зв’язку.
У 2024 році КНДР направила війська на допомогу Росії у війні проти України. З того часу TA406 — також відоме як Konni, Opal Sleet — змінило фокус з Росії на інтенсивний збір інформації в Україні. Це означає перехід від тактичної до стратегічної розвідки, орієнтованої на політичну волю до опору, військові ресурси та потенційну ескалацію.
Атаки TA406 – це не просто кіберзагроза, а складова великої геополітичної гри. Вони демонструють, що Північна Корея вже не просто спостерігач, а активний учасник, який використовує Україну як платформу для аналізу ризиків своїх дій на боці Росії. Кібероборона України має враховувати новий тип противника – стратегічно мотивованого союзника ворога.
49 
37 
52 