تم الكشف عن عمليات مجموعة قرصنة كورية شمالية كبيرة في اختراق بيانات مشتبه به

تم الكشف عن مجموعة قرصنة كورية شمالية كبيرة في اختراق بيانات مزعوم شمل نظامين مخترقين، حيث تعرض أحد أعضاء مجموعة Kimsuky APT لتسريب ضخم مشتبه به.

أحد أعضاء مجموعة القرصنة "كيمسوكي" للتهديدات المستمرة المتقدمة (APT) لاختراق بيانات كبير، مما أدى إلى تسريب مئات الجيجابايت من الملفات والأدوات الداخلية.

تم الكشف عن مجموعة قرصنة كورية شمالية في اختراق بيانات مشتبه به

وفقًا لباحثي الأمن في Slow Mist، تتضمن بيانات القرصان Kimsuky المسربة سجلات المتصفح، وسجلات حملات التصيد الاحتيالي، وأدلة للأبواب الخلفية المخصصة، وأنظمة هجومية مثل الباب الخلفي لنواة TomCat، وإشارات Cobalt Strike المعدلة، وIvanti RootRot، ومتغيرات البرامج الضارة المستندة إلى Android مثل Toybox.

تشير التقارير إلى أن اختراق البيانات وقع في أوائل يونيو 2025، وقد تم tracإلى نظامين مخترقين مرتبطين بمشغل تابع لشركة Kimsuky يعمل تحت اسم مستعار "KIM". كان أحدهما محطة عمل تطوير تعمل بنظام Linux Deepin 20.9، بينما كان الآخر خادمًا افتراضيًا خاصًا (VPS) متاحًا للعامة. من المرجح أن نظام Linux كان بمثابة بيئة لتطوير البرمجيات الخبيثة، بينما يستضيف النظام الآخر مواد تصيد احتيالي، بما في ذلك بوابات تسجيل دخول مزيفة وروابط للتحكم والسيطرة.

المخترقون الذين يقفون وراء الاختراق، والذين يُطلقون على أنفسهم اسمي "Saber" و"cyb0rg"، أنهم تمكنوا من الوصول إلى محتويات كلا النظامين واستخراجها قبل نشرها على الإنترنت. وبينما تربط بعض المؤشرات "KIM" بالبنية التحتية المعروفة لشركة Kimsuky، تشير أدلة لغوية وتقنية أخرى إلى وجود صلة صينية محتملة، لذا تبقى أصول KIM غامضة حتى الآن.

تعمل شركة كيمسوكي منذ عام 2012 على الأقل

تربط كيمسوكي علاقات بمكتب الاستطلاع العام في كوريا الشمالية منذ ظهوره لأول مرة في عام 2012. وقد تخصصت المجموعة منذ فترة طويلة في التجسس الإلكتروني الذي يستهدف الحكومات ومراكز الأبحاث وشركاتtracالدفاعية والأوساط الأكاديمية.

في أوائل عام 2025، استخدمت حملات كيمسوكي، مثل حملة DEEP#DRIVE، سلاسل اختراق متعددة المراحل تبدأ بملفات ZIP مضغوطة تحتوي على اختصارات ويندوز (LNK) مُتنكرة في هيئة مستندات. عند فتح الضحايا لهذه الملفات، تُشغّل اختصارات LNK أوامر PowerShell التي تسترجع حمولات خبيثة من خدمات مثل Dropbox، مستخدمةً مستندات وهمية لتبدو شرعية وتتجنب الكشف.

قامت حملات Kimsuky في مارس وأبريل من عام 2025 بإدخال أكواد VBScript وPowerShell مشوشة ومضمنة في ملفات ZIP خبيثة. قامت هذه البرامج النصية بتجميع الأوامر سرًا، ونشر برمجيات خبيثة لجمع ضغطات المفاتيح، والتقاط بيانات الحافظة، وسرقة مفاتيح محافظ العملات المشفرة من المتصفحات، بما في ذلك Chrome وEdge وFirefox وNaver Whale.

تحولت بعض العمليات إلى استخدام ملفات LNK الخبيثة المقترنة بـ VBScript التي تستدعي mshta.exe لتنفيذ البرامج الضارة القائمة على DLL العاكسة مباشرة في الذاكرة.

في الفترة نفسها تقريبًا، بدأت شركة Kimsuky بنشر وحدات RDP Wrapper مخصصة وبرامج خبيثة تعمل عبر الخوادم الوكيلة لتمكين الوصول عن بُعد بشكل خفي. واستُخدمت برامج سرقة المعلومات مثل forceCopy لجمع بياناتdentمن ملفات تكوين المتصفح دون إطلاق تنبيهات الوصول القياسية لكلمات المرور.

كما استغلت المجموعة خدمات التخزين السحابي واستضافة البرامج الشائعة. ففي إحدى حملات التصيد الاحتيالي الموجهة التي استهدفت كوريا الجنوبية، استُخدمت مستودعات GitHub خاصة لتخزين البرامج الضارة والبيانات المسروقة. وقد وزّعت هذه الحملات برامج ضارة مثل XenoRAT، مستخدمةً Dropbox كمنصة لتخزين الملفات المسروقة. هذا الاستخدام المزدوج لمنصات موثوقة، سواءً للتسليم أو التسريب، مكّن Kimsuky من إخفاء نشاطها الخبيث ضمن حركة مرور الشبكة الشرعية.