Un important groupe de pirates informatiques nord-coréens a été mis au jour suite à une fuite de données présumée impliquant deux systèmes compromis, où un membre du groupe Kimsuky APT aurait été victime d'une fuite massive présumée.
Un membre présumé du groupe de pirates informatiques Kimsuky Advanced Persistent Threat (APT) aurait subi une importante fuite de données, entraînant la fuite de centaines de gigaoctets de fichiers et d'outils internes.
Un groupe de pirates informatiques nord-coréens démasqué dans une affaire de fuite de données présumée
Selon les chercheurs en sécurité de Slow Mist, les données divulguées du pirate Kimsuky comprennent des historiques de navigation, des journaux de campagnes d'hameçonnage, des manuels pour des portes dérobées personnalisées et des systèmes offensifs tels que la porte dérobée du noyau TomCat, des balises Cobalt Strike modifiées, Ivanti RootRot et des variantes de logiciels malveillants basés sur Android comme Toybox.
Les rapports indiquent que la fuite de données aurait eu lieu début juin 2025 et l' tracattribuée à deux systèmes compromis liés à un opérateur de Kimsuky opérant sous le pseudonyme « KIM ». L'un était un poste de travail de développement Linux exécutant Deepin 20.9, tandis que l'autre était un VPS accessible publiquement. Le système Linux servait probablement d'environnement de développement de logiciels malveillants, tandis que l'autre hébergeait du matériel d'hameçonnage ciblé, notamment de faux portails de connexion et des liens de commande et de contrôle.
Les pirates à l'origine de la brèche, se faisant appeler « Saber » et « cyb0rg », affirment avoir accédé aux deux systèmes et en avoir exfiltré le contenu avant de le publier en ligne. Si certains indices relient « KIM » à l'infrastructure connue de Kimsuky, d'autres, d'ordre linguistique et technique, suggèrent un possible lien avec la Chine. Pour l'instant, l'origine de KIM reste donc incertaine.
Kimsuky est en activité depuis au moins 2012
Kimsuky entretient des liens avec le Bureau général de reconnaissance nord-coréen depuis sa création en 2012. Ce groupe s'est longtemps spécialisé dans le cyberespionnage ciblant les gouvernements, les groupes de réflexion, lestracde défense et le monde universitaire.
Début 2025, les campagnes Kimsuky, comme DEEP#DRIVE, utilisaient des chaînes d'intrusion en plusieurs étapes. Celles-ci commençaient par des fichiers ZIP compressés contenant des raccourcis Windows (LNK) dissimulés dans des documents. À l'ouverture de ces fichiers, les raccourcis LNK exécutaient des commandes PowerShell qui récupéraient des charges utiles malveillantes depuis des services tels que Dropbox, grâce à des documents leurres leur permettant de paraître légitimes et d'échapper à la détection.
Les campagnes Kimsuky de mars et avril 2025 ont introduit du code VBScript et PowerShell brouillé, intégré dans des archives ZIP malveillantes. Ces scripts assemblaient des commandes à l'insu des utilisateurs, déployant des logiciels malveillants pour enregistrer les frappes au clavier, capturer les données du presse-papiers et voler les clés de portefeuilles de cryptomonnaies depuis des navigateurs tels que Chrome, Edge, Firefox et Naver Whale.
Certaines opérations ont évolué vers l'utilisation de fichiers LNK malveillants associés à du VBScript qui invoquait mshta.exe pour exécuter directement en mémoire un logiciel malveillant basé sur une DLL réflexive.
À peu près à la même époque, Kimsuky a commencé à déployer des modules RDP Wrapper personnalisés et des logiciels malveillants de type proxy pour permettre un accès distant furtif. Des voleurs d'informations comme forceCopy étaient utilisés pour récupérer lesdentà partir des fichiers de configuration du navigateur sans déclencher les alertes d'accès par mot de passe standard.
Le groupe a également exploité des services d'hébergement cloud et de développement logiciel populaires. Lors d'une campagne de spear-phishing menée en juin 2025 et ciblant la Corée du Sud, des dépôts GitHub privés ont été utilisés pour stocker des logiciels malveillants et exfiltrer des données. Ces campagnes ont permis de diffuser des charges utiles telles que XenoRAT, Dropbox servant de plateforme de transit pour les fichiers volés. Cette double utilisation de plateformes de confiance pour la diffusion et l'exfiltration a permis à Kimsuky de dissimuler ses activités malveillantes au sein du trafic du réseau légitime.
