În iunie 2025, comunitatea de cybersecurity a fost zguduită. Un membru al grupului de hacking nord-coreean Kimsuky APT a devenit victima unei încălcări masive de date, dezvăluind sute de gigaocteți de fișiere interne sensibile, instrumente și detalii operaționale.
Conform experților în securitate de la Slow Mist, datele scurse includeau istorii de browser, jurnale detaliate ale campaniilor de phishing, manuale pentru backdoor-uri personalizate și sisteme de atac precum backdoor-ul TomCat, faruri Cobalt Strike modificate, exploit-ul Ivanti RootRot și malware Android precum Toybox.
Două sisteme compromise și hackerul „KIM”
Încălcarea a fost legată de două sisteme compromise operate de o persoană cunoscută sub numele de „KIM” – unul era o stație de lucru pentru dezvoltatori Linux (Deepin 20.9), celălalt un server VPS accesibil public.
Sistemul Linux a fost probabil folosit pentru dezvoltarea de malware, în timp ce VPS-ul găzduia materiale de phishing, portaluri de autentificare false și infrastructură de comandă și control (C2).
Scurgerea a fost realizată de hackeri care se identificau ca „Saber” și „cyb0rg”, care au afirmat că au furat și publicat conținutul ambelor sisteme. Deși unele dovezi leagă „KIM” de infrastructura cunoscută Kimsuky, indicii lingvistice și tehnice sugerează, de asemenea, o posibilă conexiune chineză, lăsând adevărata origine incertă.
O lungă istorie a spionajului cibernetic
Kimsuky este activ din cel puțin 2012 și este legat de Biroul General de Recunoaștere, agenția principală de informații a Coreei de Nord. A specializat de mult în spionajul cibernetic care vizează guverne, think tank-uri, contractori de apărare și mediul academic.
În 2025, campaniile sale – cum ar fi DEEP#DRIVE – s-au bazat pe lanțuri de atac în mai multe etape. Acestea au început de obicei cu arhive ZIP conținând fișiere de tip LNK mascate ca documente, care, atunci când erau deschise, executau comenzi PowerShell pentru a descărca încărcături malițioase din servicii cloud precum Dropbox, folosind documente de diversion pentru a părea legitime.
Tehnici avansate și instrumente
În primăvara anului 2025, Kimsuky a desfășurat un amestec de VBScript și PowerShell ascuns în arhive ZIP pentru:
Înregistrare a apăsărilor de taste
Furt de date din clipboard
Colectarea cheilor portofelului de criptomonedă din browsere (Chrome, Edge, Firefox, Naver Whale)
Atacatorii au asociat, de asemenea, fișiere LNK malițioase cu VBScripts care executau mshta.exe pentru a încărca malware bazat pe DLL direct în memorie. Au folosit module personalizate RDP Wrapper și malware de proxy pentru a permite accesul la distanță în mod ascuns.
Programe precum forceCopy au extras acreditive din fișierele de configurare ale browserului fără a declanșa alerte standard de acces la parolă.
Exploatarea platformelor de încredere
Kimsuky a abuzat de platforme populare de cloud și de găzduire a codului. În cadrul unei campanii de spear phishing din iunie 2025, care viza Coreea de Sud, au fost folosite depozite private GitHub pentru a stoca malware și date furate.
Prin livrarea de malware și exfiltrarea fișierelor prin Dropbox și GitHub, grupul a reușit să-și ascundă activitatea în traficul de rețea legitim.
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
Rămâneți cu un pas înainte – urmați profilul nostru și rămâneți informat despre tot ce este important în lumea criptomonedelor!
Notă:
,,Informațiile și opiniile prezentate în acest articol sunt destinate exclusiv scopurilor educaționale și nu ar trebui să fie considerate ca sfaturi de investiții în nicio situație. Conținutul acestor pagini nu ar trebui să fie considerat ca sfaturi financiare, de investiții sau orice altă formă de sfat. Avertizăm că investițiile în criptomonede pot fi riscante și pot duce la pierderi financiare.