W czerwcu 2025 roku społeczność cyberbezpieczeństwa została wstrząśnięta. Członek notorious grupy hakerskiej z Korei Północnej Kimsuky APT stał się ofiarą ogromnego naruszenia danych, ujawniając setki gigabajtów wrażliwych plików wewnętrznych, narzędzi i szczegółów operacyjnych.
Według ekspertów ds. bezpieczeństwa z Slow Mist, wyciekłe dane obejmowały historie przeglądarek, szczegółowe logi kampanii phishingowych, podręczniki do niestandardowych tylnych drzwi i systemów ataków, takich jak tylne drzwi jądra TomCat, zmodyfikowane sygnały Cobalt Strike, exploit Ivanti RootRot oraz złośliwe oprogramowanie Android, takie jak Toybox.
Dwa skompromitowane systemy i haker “KIM”
Naruszenie było związane z dwoma skompromitowanymi systemami obsługiwanymi przez osobę znaną jako “KIM” – jednym był stacja robocza dewelopera Linux (Deepin 20.9), a drugim publicznie dostępny serwer VPS.
System Linux prawdopodobnie był używany do rozwoju złośliwego oprogramowania, podczas gdy VPS hostował materiały phishingowe, fałszywe portale logowania i infrastrukturę dowodzenia i kontroli (C2).
Wyciek został przeprowadzony przez hakerów identyfikujących się jako “Saber” i “cyb0rg”, którzy twierdzili, że skradli i opublikowali zawartość obu systemów. Chociaż niektóre dowody wiążą “KIM” z znaną infrastrukturą Kimsuky, wskaźniki językowe i techniczne sugerują również możliwe połączenie z Chinami, pozostawiając prawdziwe pochodzenie niepewne.
Długa historia cyber szpiegostwa
Kimsuky jest aktywny przynajmniej od 2012 roku i jest związany z Generalnym Biurem Rozpoznania, główną agencją wywiadowczą Korei Północnej. Od dawna specjalizuje się w cyber szpiegostwie skierowanym przeciwko rządom, think tankom, kontrahentom obronnym i akademii.
W 2025 roku jego kampanie – takie jak DEEP#DRIVE – opierały się na wieloetapowych łańcuchach ataków. Zwykle zaczynały się od archiwów ZIP zawierających pliki skrótów LNK przebrane za dokumenty, które po otwarciu wykonywały polecenia PowerShell do pobierania złośliwego oprogramowania z usług chmurowych, takich jak Dropbox, używając atrap dokumentów, aby wyglądały na legitime.
Zaawansowane techniki i narzędzia
Wiosną 2025 roku Kimsuky wdrożył mieszankę VBScript i PowerShell ukrytych w archiwach ZIP, aby:
Rejestruj naciśnięcia klawiszy
Kradnij dane ze schowka
Zbieraj klucze portfeli kryptowalutowych z przeglądarek (Chrome, Edge, Firefox, Naver Whale)
Napastnicy łączyli także złośliwe pliki LNK z VBScriptem, który wykonywał mshta.exe, aby załadować złośliwe oprogramowanie oparte na DLL bezpośrednio do pamięci. Użyli niestandardowych modułów RDP Wrapper i złośliwego oprogramowania proxy, aby umożliwić ukryty zdalny dostęp.
Programy takie jak forceCopy wydobywały dane uwierzytelniające z plików konfiguracyjnych przeglądarek bez uruchamiania standardowych powiadomień o dostępie do haseł.
Wykorzystywanie zaufanych platform
Kimsuky wykorzystał popularne platformy chmurowe i hostujące kod. W kampanii spear phishingowej z czerwca 2025 roku, skierowanej przeciwko Korei Południowej, prywatne repozytoria GitHub zostały użyte do przechowywania złośliwego oprogramowania i skradzionych danych.
Dzięki dostarczaniu złośliwego oprogramowania i wykradaniu plików za pośrednictwem Dropbox i GitHub, grupa była w stanie ukryć swoją aktywność w legalnym ruchu sieciowym.
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
Bądź o krok do przodu – śledź nasz profil i bądź na bieżąco ze wszystkim, co ważne w świecie kryptowalut!
Uwaga:
,,Informacje i poglądy przedstawione w tym artykule mają na celu wyłącznie cele edukacyjne i nie powinny być traktowane jako porady inwestycyjne w żadnej sytuacji. Treść tych stron nie powinna być traktowana jako porada finansowa, inwestycyjna ani żadna inna forma porady. Ostrzegamy, że inwestowanie w kryptowaluty może być ryzykowne i może prowadzić do strat finansowych.