Eine große nordkoreanische Hackergruppe wurde bei einem mutmaßlichen Datenleck mit zwei kompromittierten Systemen entlarvt, bei dem ein Mitglied der APT-Gruppe Kimsuky vermutlich einen massiven Datenverlust erlitt.
ein Mitglied der mutmaßlichen nordkoreanischen Hackergruppe Kimsuky Advanced Persistent Threat (APT) Opfer eines massiven Datenlecks, bei dem Hunderte von Gigabytes an internen Dateien und Tools durchgesickert sind.
Nordkoreanische Hackergruppe bei mutmaßlichem Datenleck aufgedeckt
Laut den Sicherheitsforschern von Slow Mist umfassen die durchgesickerten Daten des Kimsuky-Hackers Browserverläufe, Protokolle von Phishing-Kampagnen, Anleitungen für benutzerdefinierte Hintertüren und offensive Systeme wie die TomCat-Kernel-Hintertür, modifizierte Cobalt-Strike-Beacons, Ivanti RootRot und Android-basierte Malware-Varianten wie Toybox.
Die Berichte legen nahe, dass der Datendiebstahl Anfang Juni 2025 stattfand und auf zwei kompromittierte Systeme tracist, die mit einem Kimsuky-Betreiber unter dem Alias „KIM“ in Verbindung stehen. Bei einem System handelte es sich um eine Linux-Entwicklungs-Workstation mit Deepin 20.9, beim anderen um einen öffentlich zugänglichen VPS. Das Linux-System diente vermutlich als Entwicklungsumgebung für Schadsoftware, während das andere Spear-Phishing-Material, darunter gefälschte Anmeldeportale und Command-and-Control-Verbindungen, enthielt.
Die Hacker hinter dem Angriff, die sich selbst „Saber“ und „cyb0rg“ nennen, behaupten, Zugriff auf die Inhalte beider Systeme erlangt und diese exfiltriert zu haben, bevor sie sie online veröffentlichten. Während einige Indizien „KIM“ mit der bekannten Infrastruktur von Kimsuky in Verbindung bringen, deuten andere sprachliche und technische Hinweise auf einen möglichen chinesischen Bezug hin. Daher bleibt der Ursprung von KIM vorerst ungeklärt.
Kimsuky ist mindestens seit 2012 in Betrieb
Kimsuky unterhält Verbindungen zum nordkoreanischen Aufklärungsgeneralbüro, seit dieses 2012 erstmals auftauchte. Die Gruppe hat sich seit langem auf Cyber-Spionage spezialisiert, die auf Regierungen, Denkfabriken,tracund die akademische Welt abzielt.
Anfang 2025 nutzte Kimsuky in Kampagnen wie DEEP#DRIVE mehrstufige Angriffsketten, die mit komprimierten ZIP-Dateien begannen. Diese enthielten Windows-Verknüpfungsdateien (LNK-Dateien), die als Dokumente getarnt waren. Beim Öffnen dieser Dateien führten die LNK-Dateien PowerShell-Befehle aus, die Schadsoftware von Diensten wie Dropbox abriefen. Dabei wurden Köderdokumente verwendet, um legitim zu erscheinen und einer Entdeckung zu entgehen.
Die Kimsuky-Kampagnen vom März und April 2025 schleusten wirres VBScript- und PowerShell-Code in schädliche ZIP-Archive ein. Diese Skripte fügten unbemerkt Befehle zusammen und installierten Schadsoftware, um Tastatureingaben abzufangen, Daten aus der Zwischenablage zu erfassen und Schlüssel für Kryptowährungs-Wallets aus Browsern wie Chrome, Edge, Firefox und Naver Whale zu stehlen.
Bei einigen Operationen wurde auf die Verwendung bösartiger LNK-Dateien in Verbindung mit VBScript umgestellt, das mshta.exe aufrief, um reflektierende DLL-basierte Malware direkt im Speicher auszuführen.
Etwa zur gleichen Zeit begann Kimsuky, eigene RDP-Wrapper-Module und Proxy-Malware einzusetzen, um unbemerkten Fernzugriff zu ermöglichen. Mithilfe von Info-Stealern wie forceCopy wurdendentaus Browser-Konfigurationsdateien ausgelesen, ohne die üblichen Passwortwarnungen auszulösen.
Die Gruppe missbrauchte auch gängige Cloud- und Code-Hosting-Dienste. Bei einer Spear-Phishing-Kampagne im Juni 2025, die auf Südkorea, wurden private GitHub-Repositories genutzt, um Schadsoftware zu speichern und Daten zu exfiltrieren. Diese Kampagnen verbreiteten Payloads wie XenoRAT und nutzten Dropbox als Zwischenspeicher für die gestohlenen Dateien. Durch diese doppelte Nutzung vertrauenswürdiger Plattformen sowohl für die Verbreitung als auch für die Exfiltration konnte Kimsuky seine schädlichen Aktivitäten im legitimen Netzwerkverkehr verbergen.
