Im Juni 2025 wurde die Cybersicherheitsgemeinschaft erschüttert. Ein Mitglied der berüchtigten nordkoreanischen Hackergruppe Kimsuky APT wurde Opfer eines massiven Datenlecks, das Hunderte von Gigabytes sensibler interner Dateien, Tools und Betriebsdetails offenbarte.
Laut Sicherheitsfachleuten von Slow Mist umfassten die geleakten Daten Browserverläufe, detaillierte Protokolle von Phishing-Kampagnen, Handbücher für benutzerdefinierte Hintertüren und Angriffssysteme wie die TomCat-Kernel-Hintertür, modifizierte Cobalt Strike-Beacons, den Ivanti RootRot-Exploit und Android-Malware wie Toybox.
Zwei kompromittierte Systeme und Hacker „KIM“
Der Vorfall war mit zwei kompromittierten Systemen verbunden, die von einer Person betrieben wurden, die als „KIM“ bekannt ist – eines war eine Linux-Entwicklungsarbeitsstation (Deepin 20.9), das andere ein öffentlich zugänglicher VPS-Server.
Das Linux-System wurde wahrscheinlich für die Entwicklung von Malware verwendet, während der VPS Phishing-Materialien, gefälschte Login-Portale und eine Command-and-Control (C2)-Infrastruktur hostete.
Der Leak wurde von Hackern durchgeführt, die sich als „Saber“ und „cyb0rg“ identifizierten und behaupteten, die Inhalte beider Systeme gestohlen und veröffentlicht zu haben. Während einige Beweise „KIM“ mit bekannter Kimsuky-Infrastruktur verbinden, deuten sprachliche und technische Indikatoren auch auf eine mögliche chinesische Verbindung hin, was den wahren Ursprung ungewiss lässt.
Eine lange Geschichte der Cyber-Spionage
Kimsuky ist seit mindestens 2012 aktiv und wird mit dem Reconnaissance General Bureau, der primären Geheimdienstbehörde Nordkoreas, in Verbindung gebracht. Es hat sich seit langem auf Cyber-Spionage spezialisiert, die sich gegen Regierungen, Denkfabriken, Verteidigungsauftragnehmer und die Wissenschaft richtet.
Im Jahr 2025 basierten seine Kampagnen – wie DEEP#DRIVE – auf mehrstufigen Angriffsketten. Diese begannen typischerweise mit ZIP-Archiven, die LNK-Verknüpfungsdateien enthielten, die als Dokumente getarnt waren, und beim Öffnen PowerShell-Befehle ausführten, um bösartige Payloads von Cloud-Diensten wie Dropbox herunterzuladen, wobei Tarn-Dokumente verwendet wurden, um legitim zu erscheinen.
Fortgeschrittene Techniken und Werkzeuge
Im Frühling 2025 setzte Kimsuky eine Mischung aus VBScript und PowerShell ein, die in ZIP-Archiven verborgen war, um:
Tastatureingaben protokollieren
Zwischenspeicher-Daten stehlen
Kryptowährungs-Wallet-Schlüssel aus Browsern ernten (Chrome, Edge, Firefox, Naver Whale)
Angreifer kombinierten auch bösartige LNK-Dateien mit VBScripts, die mshta.exe ausführten, um DLL-basierte Malware direkt in den Speicher zu laden. Sie verwendeten benutzerdefinierte RDP-Wrap-Moduln und Proxy-Malware, um verdeckten Remote-Zugriff zu ermöglichen.
Programme wie forceCopy extrahierten Anmeldedaten aus Browserkonfigurationsdateien, ohne Standardpasswortzugriffsalarme auszulösen.
Vertrauenswürdige Plattformen ausnutzen
Kimsuky missbrauchte beliebte Cloud- und Code-Hosting-Plattformen. In einer Spear-Phishing-Kampagne im Juni 2025, die auf Südkorea abzielte, wurden private GitHub-Repositories verwendet, um Malware und gestohlene Daten zu speichern.
Durch die Bereitstellung von Malware und das Exfiltrieren von Dateien über Dropbox und GitHub konnte die Gruppe ihre Aktivitäten im legitimen Netzwerkverkehr verbergen.
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
Seien Sie einen Schritt voraus – folgen Sie unserem Profil und bleiben Sie über alles Wichtige in der Welt der Kryptowährungen informiert!
Hinweis:
,,Die Informationen und Ansichten, die in diesem Artikel präsentiert werden, sind ausschließlich zu Bildungszwecken gedacht und sollten in keiner Situation als Anlageberatung angesehen werden. Der Inhalt dieser Seiten sollte nicht als finanzielle, anlagebezogene oder sonstige Form von Beratung betrachtet werden. Wir warnen, dass Investitionen in Kryptowährungen riskant sein können und zu finanziellen Verlusten führen können.“