تم تحديد هجوم إلكتروني يستهدف المستخدمين الكوريين، حيث يتم استخدام رسائل بريد إلكتروني تنتحل صفة تنبيهات أمان من مايكروسوفت لتوزيع البرمجيات الخبيثة. يرتبط هذا الهجوم بمجموعة القرصنة الكورية الشمالية APT37، ويستخدم رسائل تصيد احتيالي موجهة بعنوان “إشعار فحص الأمان بسبب تكرار حدوث رموز المصادقة لمرة واحدة”. تهدف هذه الرسائل، التي تبدو زيفًا أنها مرسلة من “فريق حسابات مايكروسوفت”، إلى إثارة القلق بشأن أمان الحساب، مما يدفع المستلمين إلى فتح ملف مرفق. هذا الملف، الذي يتنكر في هيئة إشعار أمني شرعي، يقوم بتثبيت برمجية خبيثة تُدعى ‘NarwahlRAT’ عند فتحه. تم تصميم هذه البرمجية لتشبه متصفح نيفر ويل الشهير، وتستهدف المستخدمين الكوريين بشكل خاص، وتشمل رموزًا مرتبطة بتطبيق كاكاوتوك. يمكن لـ NarwahlRAT أداء أكثر من 30 وظيفة، مثل تسجيل ضغطات المفاتيح، والتقاط الشاشة، وتسجيل الصوت، وجمع الملفات من أجهزة USB، وتنفيذ أوامر عن بُعد. يعكس هذا الهجوم تقنيات سابقة استخدمتها APT37، مما يبرز الحاجة إلى تعزيز أنظمة الكشف القائمة على السلوك لمواجهة النسخ المستقبلية.
