Nel giugno 2025, la comunità della cybersicurezza è stata scossa. Un membro del noto gruppo di hacking nordcoreano Kimsuky APT è diventato vittima di una massiccia violazione dei dati, rivelando centinaia di gigabyte di file interni sensibili, strumenti e dettagli operativi.
Secondo gli esperti di sicurezza di Slow Mist, i dati trapelati includevano cronologie dei browser, log dettagliati delle campagne di phishing, manuali per backdoor personalizzate e sistemi di attacco come la backdoor del kernel TomCat, beacon di Cobalt Strike modificati, l'exploit Ivanti RootRot e malware Android come Toybox.
Due sistemi compromessi e hacker “KIM”
La violazione è stata collegata a due sistemi compromessi gestiti da un individuo noto come “KIM” – uno era una workstation per sviluppatori Linux (Deepin 20.9), l'altro un server VPS accessibile pubblicamente.
Il sistema Linux è stato probabilmente utilizzato per lo sviluppo di malware, mentre il VPS ospitava materiali di phishing, portali di accesso falsi e infrastrutture di comando e controllo (C2).
La fuga è stata effettuata da hacker che si identificavano come “Saber” e “cyb0rg”, i quali hanno affermato di aver rubato e pubblicato i contenuti di entrambi i sistemi. Sebbene alcune prove colleghino “KIM” a infrastrutture Kimsuky note, indicatori linguistici e tecnici suggeriscono anche una possibile connessione cinese, lasciando l'origine vera incerta.
Una lunga storia di cyber spionaggio
Kimsuky è attiva almeno dal 2012 ed è collegata all'Ufficio Generale di Ricognizione, l'agenzia di intelligence principale della Corea del Nord. Si è a lungo specializzata in cyber spionaggio mirato a governi, centri di ricerca, appaltatori della difesa e accademici.
Nel 2025, le sue campagne – come DEEP#DRIVE – si basavano su catene di attacco a più fasi. In genere iniziavano con archivi ZIP contenenti file di collegamento LNK mascherati da documenti, che, una volta aperti, eseguivano comandi PowerShell per scaricare payload dannosi da servizi cloud come Dropbox, utilizzando documenti di copertura per apparire legittimi.
Tecniche e strumenti avanzati
Nella primavera del 2025, Kimsuky ha distribuito un mix di VBScript e PowerShell nascosti all'interno di archivi ZIP per:
Registra le sequenze di tasti
Furto dei dati della clipboard
Raccogliere le chiavi dei portafogli di criptovaluta dai browser (Chrome, Edge, Firefox, Naver Whale)
Gli attaccanti hanno anche abbinato file LNK dannosi a VBScripts che eseguivano mshta.exe per caricare malware basato su DLL direttamente in memoria. Hanno utilizzato moduli personalizzati di RDP Wrapper e malware proxy per abilitare l'accesso remoto furtivo.
Programmi come forceCopy hanno estratto credenziali dai file di configurazione del browser senza attivare gli avvisi di accesso standard alle password.
Sfruttare piattaforme fidate
Kimsuky ha abusato di piattaforme di cloud e hosting di codice popolari. In una campagna di spear phishing nel giugno 2025 mirata alla Corea del Sud, sono stati utilizzati repository privati di GitHub per memorizzare malware e dati rubati.
Con la consegna di malware ed estrazione di file tramite Dropbox e GitHub, il gruppo è stato in grado di nascondere la propria attività all'interno del traffico di rete legittimo.
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
Rimani un passo avanti – segui il nostro profilo e rimani informato su tutto ciò che è importante nel mondo delle criptovalute!
Avviso:
,,Le informazioni e le opinioni presentate in questo articolo sono destinate esclusivamente a scopi educativi e non devono essere interpretate come consulenza sugli investimenti in nessuna situazione. Il contenuto di queste pagine non deve essere considerato come consulenza finanziaria, di investimento o di altro tipo. Avvisiamo che investire in criptovalute può essere rischioso e può portare a perdite finanziarie.