データ漏洩の疑いで北朝鮮の大規模ハッカー集団の活動が明らかに

北朝鮮の大規模なハッカー集団が、2つの侵害を受けたシステムに関わるデータ侵害の疑いで摘発された。Kimsuky APTのメンバーが、大規模な漏洩の被害を受けたとみられる。.

北朝鮮の ハッカー集団 「Kimsuky Advanced Persistent Threat (APT)」のメンバーが大規模なデータ侵害を受け、数百ギガバイトの内部ファイルやツールが漏洩したと報じられている。

北朝鮮のハッカー集団、データ漏洩の疑いで摘発される

Slow Mistのセキュリティ研究者によると、漏洩したKimsukyハッカーデータには、ブラウザ履歴、フィッシングキャンペーンログ、カスタムバックドアのマニュアル、TomCatカーネルバックドア、改変されたCobalt Strikeビーコン、Ivanti RootRot、ToyboxのようなAndroidベースのマルウェア亜種などの攻撃システムが含まれているという。.

報道によると、データ侵害は2025年6月初旬に発生したとみられ、その発生源は「KIM」という偽名で活動するKimsukyの攻撃者に関連する2つの侵害されたシステムまで tracます。1つはDeepin 20.9が稼働するLinux開発ワークステーションで、もう1つは一般向けのVPSでした。Linuxシステムはマルウェア開発環境として機能していたとみられ、もう1つは偽のログインポータルやコマンド＆コントロールリンクを含むスピアフィッシング用の素材をホストしていました。.

に関与したハッカー集団 情報漏洩「Saber」と「cyb0rg」は、両システムのコンテンツにアクセスして抜き出し、オンラインで公開したと主張している。一部の指標は「KIM」をKimsukyの既知のインフラと結びつけているが、言語的および技術的な手がかりは中国との関連性を示唆しており、今のところKIMの出所は不明のままだ。

キムスキーは少なくとも2012年から活動している

キムスキー氏は2012年に初めて登場して以来、北朝鮮の偵察総局とつながりを持っている。同グループは長年、政府、シンクタンク、防衛trac業者、学術機関を標的としたサイバースパイ活動を専門としてきた。.

2025年初頭、DEEP#DRIVEなどのKimsukyキャンペーンは、文書に偽装されたWindowsショートカット（LNK）ファイルを含む圧縮ZIPファイルから始まる多段階の侵入チェーンを利用しました。被害者がこれらのファイルを開くと、LNKファイルはPowerShellコマンドを起動し、Dropboxなどのサービスから悪意のあるペイロードを取得します。これらのペイロードは、おとり文書を使用して正規のファイルのように見せかけ、検出を回避します。.

2025年3月と4月に発生したKimsukyキャンペーンでは、悪意のあるZIPアーカイブに埋め込まれた、複雑なVBScriptおよびPowerShellコードが使用されました。これらのスクリプトは密かにコマンドを組み立て、キー入力を収集し、クリップボードデータをキャプチャし、Chrome、Edge、Firefox、Naver Whaleなどのブラウザから暗号通貨ウォレットのキーを盗むマルウェアを展開しました。.

一部の操作は、mshta.exe を呼び出してメモリ内で直接リフレクション DLL ベースのマルウェアを実行する VBScript と組み合わせた悪意のある LNK ファイルを使用するように変更されました。.

同じ頃、KimsukyはカスタムRDPラッパーモジュールとプロキシマルウェアを展開し始め、ステルス性の高いリモートアクセスを可能にしました。forceCopyなどの情報窃取型マルウェアは、標準的なパスワードアクセスアラートをトリガーすることなく、ブラウザ設定ファイルからdent情報を収集するために使用されました。

を標的としたスピアフィッシング攻撃では 韓国、プライベートGitHubリポジトリがマルウェアや流出データの保存に利用された。これらの攻撃では、XenoRATなどのペイロードが配信される一方で、Dropboxは盗まれたファイルの保管場所として利用された。このように、信頼できるプラットフォームを配信と流出の両方に利用することで、Kimsukyは正規ネットワークのトラフィックの中に悪意のある活動を隠蔽することができた。