Eksperci z Anomali ustalili, że północnokoreańczycy podmienili stronę logowania przeznaczoną dla francuskich dyplomatów. Pozyskiwane w ten sposób dane posłużyły im do wtargnięcia do agend powiązanych z ministerstwem spraw zagranicznych Francji. Oprócz dyplomacji celem ataku stały się również Uniwersytet Stanforda, Royal United Service Institute - brytyjski ośrodek analityczny wraz z jego amerykańskim odpowiednikiem Congressional Research Service (CRS).

Działania wymierzone we Francuzów rozpoczęły się 9 sierpnia 2019 roku. Na pierwszy ogień atakujących poszedł French Ministry for Europe and Foreign Affairs (MEAE). W śród potencjalnych ofiar znalazły się Agence Française de Développement (AFD), Institut Français Research Institute for Development (IRD), Agricultural Research Centre for International Development (CIRAD), Business France, Campus France and France Médias Monde, Canal France International (CFI), Expertise France, France Volontaires, Agency for French Education Abroad (AEFE) i Atout France. Atakujący sięgnęli po dyplomatów związanych z komisją do spraw rozbrojenia i sankcji względem Iranu oraz Północnej Korei. Podszyli się pod dostawę poczty elektronicznej w celu jej przejęcia oraz uzyskania dostępu do przekazywanych wiadomości.

Użyli przy tym jako źródło ataku serwer APNIC, czyli  Asia Pacific Network Information Centre a także drugi podlegający w  Tokio pod Japan Network Information Center. Dzięki temu stworzyli fikcyjnych pośredników umożliwiających naśladowanie połączeń z Yahoo, Outlook, usługami Google, czy Gmail. Dzięki temu jeśli ofiara korzystała z OneDrive (usługi chmurowej do przechowywania danych) była przekierowana po przechwyceniu danych do prawdziwego serwera Microsoft. Atakujący podszyli się również pod pocztę elektroniczną Uniwersytetu Stanforda tak zwaną Security Email przeznaczoną dla pracowników uniwersytetów potrzebujących przesyłania szczególnie wrażliwych danych. Zaatakowana uczelnia przez Centre for International Security and Cooperation (CISAC) oraz Asia Pacific Research Centre (APARC) pośredniczy w rozmowach i badaniach dotyczących Korei Północnej.

Po drodze na celowników znalazło się ministerstwo spraw zagranicznych i konsulat Słowacki, delegacja Organizacji Narodów Zjednoczonych i Departament Międzynarodowych Relacji oraz Współpracy Republiki Południowej Afryki.

Zdaniem Anomali haktywiści użyli również oprogramowania wymierzonego w telefony firmy Apple, lub na Androidzie. Celem stała się również chińska firma technologiczna Sina skoncentrowana na kwestiach azjatyckich, powiązana z chińską siecią społecznościową Weibo i specjalizująca się w technologiach mobilnych.

Atak Północnej Korei objął również rząd Belgii, a także ministerstwo spraw zagranicznych Korei Południowej. Nie zabrakło również na liście ataku jednego z pięciu największych portali informacyjnych w Japoni Asahi News.

Pod nazwą Zasłona Dymna ESET informował już o działaniach północnokoreańczyków w kwietniu 2019. Wykorzystano wtedy sieć Kimsuky Babyshark, czyli zbiór połączonych ze sobą trojanów, przypisywany Korei Północnej. Pod hasłem konia trojańskiego kryje się program ukryty w innym, na przykład jest to odbezpieczony program Photoshop, pozbawiony systemu autoryzacji. Może być to jednak inna aplikacja,  w tym popularna gra, lub samodzielny program. Jego celem jest porozumienie się z system kontroli i zarządzania. Dzięki temu umożliwia koordynowanie swych działań. Akcja trwała od miesięcy. W styczniu 2019 utworzono fikcyjne odbicia usługodawców z Południowej Korei Daum, Naver i kakoaTalk (sic!). Anomali jest pewne, że celem długofalowej fali oraz ostatniego ataku było zdobycie informacji, lecz brakuje danych jaki jest końcowy cel. Ze względów między innymi prestiżu na arenie międzynarodowej oraz w biznesie przypadki włamań są ukrywane przed opinią publiczną. Nie jest możliwe bez dostępu do wewnętrznych informacji jaki był właściwie skutek. Działania Północnej Korei zostały przez ekspertów do spraw bezpieczeństwa uznane za ciągłe i nieustające zagrożenie (APT).

Jacek Skrzypacz