北朝鮮の大規模なハッカー集団が、2つの侵害を受けたシステムに関わるデータ侵害の疑いで摘発された。Kimsuky APTのメンバーが、大規模な漏洩の被害を受けたとみられる。.
北朝鮮のハッカー集団「Kimsuky Advanced Persistent Threat (APT)」のメンバーが大規模なデータ侵害を受け、数百ギガバイトの内部ファイルやツールが漏洩したと報じられている。
北朝鮮のハッカー集団、データ漏洩の疑いで摘発される
Slow Mistのセキュリティ研究者によると、漏洩したKimsukyハッカーデータには、ブラウザ履歴、フィッシングキャンペーンログ、カスタムバックドアのマニュアル、TomCatカーネルバックドア、改変されたCobalt Strikeビーコン、Ivanti RootRot、ToyboxのようなAndroidベースのマルウェア亜種などの攻撃システムが含まれているという。.
報道によると、データ侵害は2025年6月初旬に発生したとみられ、その発生源は「KIM」という偽名で活動するKimsukyの攻撃者に関連する2つの侵害されたシステムまで tracます。1つはDeepin 20.9が稼働するLinux開発ワークステーションで、もう1つは一般向けのVPSでした。Linuxシステムはマルウェア開発環境として機能していたとみられ、もう1つは偽のログインポータルやコマンド&コントロールリンクを含むスピアフィッシング用の素材をホストしていました。.
侵入の背後にいるハッカーたちは「Saber」と「cyb0rg」を名乗り、両システムにアクセスしてコンテンツを盗み出し、オンラインで公開したと主張している。「KIM」はキムスキー氏の既知のインフラと関連している可能性を示唆する情報もあるが、言語的・技術的な手がかりから中国との関連性が示唆されているため、現時点ではKIMの起源は未解明のままとなっている。
キムスキーは少なくとも2012年から活動している
キムスキー氏は2012年に初めて登場して以来、北朝鮮の偵察総局とつながりを持っている。同グループは長年、政府、シンクタンク、防衛trac業者、学術機関を標的としたサイバースパイ活動を専門としてきた。.
2025年初頭、DEEP#DRIVEなどのKimsukyキャンペーンは、文書に偽装されたWindowsショートカット(LNK)ファイルを含む圧縮ZIPファイルから始まる多段階の侵入チェーンを利用しました。被害者がこれらのファイルを開くと、LNKファイルはPowerShellコマンドを起動し、Dropboxなどのサービスから悪意のあるペイロードを取得します。これらのペイロードは、おとり文書を使用して正規のファイルのように見せかけ、検出を回避します。.
2025年3月と4月に発生したKimsukyキャンペーンでは、悪意のあるZIPアーカイブに埋め込まれた、複雑なVBScriptおよびPowerShellコードが使用されました。これらのスクリプトは密かにコマンドを組み立て、キー入力を収集し、クリップボードデータをキャプチャし、Chrome、Edge、Firefox、Naver Whaleなどのブラウザから暗号通貨ウォレットのキーを盗むマルウェアを展開しました。.
一部の操作は、mshta.exe を呼び出してメモリ内で直接リフレクション DLL ベースのマルウェアを実行する VBScript と組み合わせた悪意のある LNK ファイルを使用するように変更されました。.
同じ頃、KimsukyはカスタムRDPラッパーモジュールとプロキシマルウェアを展開し始め、ステルス性の高いリモートアクセスを可能にしました。forceCopyなどの情報窃取型マルウェアは、標準的なパスワードアクセスアラートをトリガーすることなく、ブラウザ設定ファイルからdent情報を収集するために使用されました。
韓国を標的としたスピアフィッシング攻撃では、GitHubのプライベートリポジトリがマルウェアや窃取データの保存に利用されました。これらの攻撃では、XenoRATなどのペイロードを配信する一方で、Dropboxを窃取ファイルの保管場所として利用していました。このように、信頼できるプラットフォームを配信と窃取の両方に利用することで、Kimsukyは正規のネットワークトラフィック内に悪意のある活動を隠蔽することができました。
