Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Le operazioni di un grande gruppo di hacker nordcoreani sono state scoperte in una sospetta violazione dei dati
- Un presunto hacker nordcoreano del gruppo Kimsuky APT avrebbe subito una grave violazione dei dati nel giugno 2025.
- La fuga di notizie è avvenuta tramite una workstation di sviluppo Linux compromessa che eseguiva Deepin 20.9 e un VPS pubblico compromesso utilizzato per lo spear-phishing.
- I materiali divulgati rivelano le backdoor, i sistemi di phishing e gli strumenti di ricognizione del gruppo.
Un grande gruppo di hacker nordcoreani è stato smascherato in una presunta violazione dei dati che ha coinvolto due sistemi compromessi, in cui un membro dell'APT Kimsuky ha subito una sospetta fuga di dati di grandi dimensioni.
Secondo quanto riferito, un membro del presunto gruppo di hacker nordcoreani Kimsuky Advanced Persistent Threat (APT) ha subito una grave violazione dei dati, con conseguente fuga di centinaia di gigabyte di file e strumenti interni.
Un gruppo di hacker nordcoreani è stato scoperto in una sospetta violazione dei dati
Secondo i ricercatori di sicurezza di Slow Mist, i dati trapelati dell'hacker Kimsuky includono cronologie del browser, registri di campagne di phishing, manuali per backdoor personalizzate e sistemi offensivi come la backdoor del kernel TomCat, i beacon Cobalt Strike modificati, Ivanti RootRot e varianti di malware basate su Android come Toybox.
I rapporti sospettano che la violazione dei dati sia avvenuta all'inizio di giugno 2025 e l' tracricondotta a due sistemi compromessi collegati a un operatore Kimsuky che lavorava con lo pseudonimo "KIM". Uno era una workstation di sviluppo Linux con Deepin 20.9, mentre l'altro era un VPS pubblico. Il sistema Linux fungeva probabilmente da ambiente di sviluppo malware, mentre l'altro ospitava materiale di spear-phishing, inclusi falsi portali di accesso e link di comando e controllo.
Gli hacker responsabili dell'attacco, che si fanno chiamare "Saber" e "cyb0rg", affermano di aver avuto accesso a entrambi i sistemi e di averne esfiltrato il contenuto prima di pubblicarlo online. Mentre alcuni indizi collegano "KIM" all'infrastruttura nota di Kimsuky, altri indizi linguistici e tecnici suggeriscono un possibile collegamento con la Cina, quindi per ora le origini di KIM rimangono irrisolte.
Kimsuky opera almeno dal 2012
Kimsuky ha legami con il Reconnaissance General Bureau della Corea del Nord fin dalla sua prima apparizione nel 2012. Il gruppo è da tempo specializzato nello spionaggio informatico che prende di mira governi, think tank,tracdella difesa e il mondo accademico.
All'inizio del 2025, campagne Kimsuky come DEEP#DRIVE utilizzavano catene di intrusione multifase che iniziavano con file ZIP compressi contenenti file di collegamento di Windows (LNK) camuffati da documenti. Quando le vittime aprivano questi file, i file LNK lanciavano comandi PowerShell che recuperavano payload dannosi da servizi come Dropbox, utilizzando documenti escamotage per apparire legittimi ed evitare il rilevamento.
Le campagne Kimsuky di marzo e aprile 2025 hanno introdotto codice VBScript e PowerShell confuso incorporato in archivi ZIP dannosi. Questi script assemblavano comandi in modo occulto, distribuendo malware per raccogliere sequenze di tasti, acquisire dati dagli appunti e rubare le chiavi dei wallet di criptovalute dai browser, tra cui Chrome, Edge, Firefox e Naver Whale.
Alcune operazioni sono passate all'utilizzo di file LNK dannosi abbinati a VBScript che richiamavano mshta.exe per eseguire malware riflessivo basato su DLL direttamente nella memoria.
Nello stesso periodo, Kimsuky iniziò a implementare moduli RDP Wrapper personalizzati e malware proxy per consentire l'accesso remoto furtivo. Software di furto di informazioni come forceCopy venivano utilizzati per raccoglieredentdai file di configurazione del browser senza attivare gli avvisi standard di accesso tramite password.
Il gruppo ha inoltre abusato di popolari servizi di cloud e di hosting di codice. In una campagna di spear-phishing del giugno 2025, mirata alla Corea del Sud, sono stati utilizzati repository privati di GitHub per archiviare malware ed esfiltrare dati. Queste campagne hanno distribuito payload come XenoRAT, utilizzando al contempo Dropbox come piattaforma di staging per i file rubati. Questo duplice utilizzo di piattaforme affidabili, sia per la distribuzione che per l'esfiltrazione, ha permesso a Kimsuky di nascondere le proprie attività dannose all'interno del traffico di rete legittimo.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)