# Kimsuky Diehl Defence 2024 > [!high] Coreia do Norte Ataca Fabricante do IRIS-T - Espionagem de Sistemas de Mísseis via Phishing > Em outubro de 2024, a Mandiant atribuiu ao [[g0094-kimsuky]] o comprometimento da Diehl Defence, fabricante alemão do sistema de mísseis IRIS-T - um dos sistemas de defesa aérea mais avançados do mundo e adquirido pela Coreia do Sul em outubro de 2023. A campanha usou falsas ofertas de emprego de empresas americanas de defesa para atrair funcionários da Diehl a clicar em PDFs maliciosos, obtendo acesso aos sistemas internos da empresa. O timing - logo após a venda do IRIS-T para Seul - sugere interesse específico nas capacidades técnicas do sistema para fins de contramedidas. ## Visão Geral A Diehl Defence, sediada em Überlingen, na Alemanha, é um fabricante estratégico especializado em mísseis, munições e sistemas militares avançados. O IRIS-T (Infra-Red Imaging System Tail/Thrust Vector-Controlled) é o produto mais crítico da empresa - um míssil ar-ar de curto alcance desenvolvido em cooperação com vários países da OTAN, e mais recentemente adaptado para defesa aérea terrestre (SL) com versões fornecidas à Ucrânia e vendidas à Coreia do Sul. Em outubro de 2024, a Spiegel e Security Affairs reportaram que pesquisadores identificaram o [[g0094-kimsuky]] como responsável por uma intrusão na Diehl Defence. A investigação foi conduzida pela Mandiant (Google) com base em análise forense de artefatos da campanha. O vetor inicial foi spear phishing com falsas ofertas de emprego de empresas americanas de defesa - uma técnica característica do [[g0094-kimsuky]] que o grupo usa consistentemente contra alvos de interesse em defesa desde pelo menos 2022. O detalhe técnico mais revelador da atribuição foi a infraestrutura do servidor de ataque: os servidores continham referências específicas a "Überlingen" - a cidade alemã onde a Diehl Defence é sediada - demonstrando reconhecimento prévio significativo do alvo antes da operação. Este nível de personalização é consistente com as campanhas do [[g0094-kimsuky]] contra alvos específicos de alto valor estratégico. O timing da campanha é particularmente significativo: a Coreia do Sul anunciou a compra do sistema IRIS-T em outubro de 2023 - um ano antes da campanha. A inteligência sobre as específicações técnicas, limitações e capacidades do IRIS-T seria de extraordinário valor operacional para a Coreia do Norte, que enfrentaria potencialmente este sistema em um conflito com Seul. ## Attack Flow da Campanha ```mermaid graph TB A["Reconhecimento<br/>Identificação de funcionários Diehl Defence<br/>LinkedIn, OSINT de perfis engenheiros<br/>Servidor configurado com 'Uberlingen'"] --> B["Lure de Emprego<br/>Email spear phishing personalizado<br/>Falsa oferta de empresa americana de defesa<br/>PDF com vaga de emprego atraente"] B --> C["Execução Maliciosa<br/>Vítima abre PDF malicioso<br/>Malware executado via exploração<br/>ou macro de documento"] C --> D["Acesso à Rede Interna<br/>Foothold no endpoint do funcionário<br/>Reconhecimento de sistemas internos<br/>Mapeamento de acesso disponível"] D --> E["Coleta de Inteligência<br/>Documentação técnica IRIS-T<br/>Emails de projetos de defesa<br/>Específicações e propriedade intelectual"] ``` **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1598-phishing-for-information|T1598]] · [[t1204-user-execution|T1204]] · [[t1036-masquerading|T1036]] ## Alvo Estratégico: IRIS-T ```mermaid graph TB subgraph "Por que Diehl Defence?" IR["IRIS-T SL<br/>Sistema de defesa aérea terrestre<br/>Fornecido à Ucrânia (2022)"] SK["Coreia do Sul comprou IRIS-T<br/>Anunciado outubro 2023<br/>Deployment planejado próximos anos"] NK["Interesse DPRK<br/>Sistema que pode ser implantado<br/>contra forças norte-coreanas em conflito"] end subgraph "Inteligência Coletada (hipótese)" TS["Específicações técnicas<br/>Alcance, guiagem, countermeasures"] LIM["Limitações do sistema<br/>Como saturar ou enganar o IRIS-T"] DOC["Documentação de projetos<br/>Contratos internacionais, parceiros"] end IR --> NK SK --> NK NK --> TS NK --> LIM NK --> DOC ``` ## Contexto: Kimsuky e Targeting de Defesa O [[g0094-kimsuky]] (também rastreado como Springtail, ARCHIPELAGO, Black Banshee, Thallium, Velvet Chollima, APT43) é um grupo APT norte-coreano operando sob o Reconnaissance General Bureau (RGB) desde pelo menos 2013. O grupo é especialmente conhecido por: - **Falsas ofertas de emprego**: usando atrações de emprego personalizadas para alvos específicos de alto valor - **Reconhecimento extenso**: personalização de campanhas com detalhes geográficos e organizacionais precisos - **Targeting de defesa**: campanhas documentadas contra contratantes de defesa em EUA, Coreia do Sul e Europa - **Persistência de longo prazo**: foco em exfiltração silenciosa de propriedade intelectual por semanas ou meses ## Relevância para o Brasil e LATAM > [!low] Padrão de Targeting de Defesa - Empresas Brasileiras com Parceiros OTAN > O ataque à Diehl Defence não tem impacto direto no Brasil ou LATAM. Contudo, o padrão do [[g0094-kimsuky]] de usar falsas ofertas de emprego de empresas americanas de defesa para comprometer fabricantes estratégicos é diretamente aplicável a empresas brasileiras que trabalham com parceiros de defesa da OTAN ou desenvolvem tecnologia de interesse para atores estatais. A Embraer, com suas divisões de defesa e aviação, e empresas brasileiras no setor de defesa com contratos internacionais são potenciais alvos usando métodologia similar. ## Detecção e Defesa - Treinar funcionários de empresas de defesa sobre "lures de emprego" - ofertas não solicitadas de grandes empresas de defesa americanas via email são altamente suspeitas - Implementar sandboxing de PDFs antes da abertura por funcionários - PDFs maliciosos são o vetor de entrega inicial - Monitorar e alertar sobre acessos a documentação técnica classificada por contas que nunca acessaram esses documentos antes - Configurar DLP (Data Loss Prevention) para detectar exfiltração de documentos com palavras-chave de projetos de defesa sensíveis - Revisar logs de acesso de engenheiros em projetos estratégicos após qualquer incidente suspeito de phishing ## Referências - [Security Affairs — North Korea-linked APT Kimsuky targeted German defense firm Diehl Defence (Oct 2024)](https://securityaffairs.com/169162/apt/kimsuky-apt-hit-diehl-defence.html) - [SecurityWeek — North Korea Hackers Linked to Breach of German Missile Manufacturer (Oct 2024)](https://www.securityweek.com/north-korea-hackers-linked-to-breach-of-german-missile-manufacturer/) - [Alert 5 — North Korean hackers target Diehl Defence employees, potentially seeking IRIS-T secrets (Oct 2024)](https://alert5.com/2024/10/05/north-korean-hackers-target-diehl-defence-employees-in-germany-potentially-seeking-iris-t-secrets/) - [[g0094-kimsuky]] - Grupo norte-coreano responsável pela campanha de espionagem - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear phishing com PDF malicioso (lure de emprego) - [[t1598-phishing-for-information|T1598]] - Phishing para coleta de credenciais e inteligência