Крупная северокорейская хакерская группа оказалась замешана в предполагаемой утечке данных, затронувшей две скомпрометированные системы, в результате которой член APT-группировки Kimsuky, предположительно, подвергся масштабной утечке.
что член предполагаемой северокорейской хакерской группы Kimsuky Advanced Persistent Threat (APT) подвергся крупной утечке данных, в результате которой были раскрыты сотни гигабайт внутренних файлов и инструментов.
Северокорейская хакерская группа разоблачена в связи с предполагаемой утечкой данных
По данным исследователей безопасности из Slow Mist, утечка данных хакера Kimsuky включает в себя историю браузера, журналы фишинговых кампаний, руководства по пользовательским бэкдорам и информацию о вредоносных системах, таких как бэкдор ядра TomCat, модифицированные маяки Cobalt Strike, Ivanti RootRot и варианты вредоносного ПО для Android, например, Toybox.
Согласно сообщениям, утечка данных произошла в начале июня 2025 года и tracсвязана с двумя взломанными системами, принадлежащими оператору Kimsuky, работающему под псевдонимом «KIM». Одна из них представляла собой рабочую станцию разработки на Linux с установленной операционной системой Deepin 20.9, а другая — общедоступный VPS. Система Linux, вероятно, использовалась в качестве среды разработки вредоносного ПО, а на другой размещались материалы для целевого фишинга, включая поддельные порталы авторизации и ссылки на командно-контрольные пункты.
Хакеры, стоящие за взломом, называющие себя «Saber» и «cyb0rg», утверждают, что получили доступ к содержимому обеих систем и похитили его, прежде чем опубликовать в интернете. Хотя некоторые признаки указывают на связь «KIM» с известной инфраструктурой Kimsuky, другие лингвистические и технические подсказки предполагают возможную связь с Китаем, поэтому происхождение KIM пока остается невыясненным.
Компания Kimsuky работает как минимум с 2012 года
У Кимсуки есть связи с Главным разведывательным управлением Северной Кореи с момента его появления в 2012 году. Эта группа давно специализируется на кибершпионаже, направленном против правительств, аналитических центров, оборонныхtracи академических кругов.
В начале 2025 года в кампаниях Kimsuky, таких как DEEP#DRIVE, использовались многоступенчатые цепочки вторжений, начинающиеся со сжатых ZIP-файлов, содержащих файлы ярлыков Windows (LNK), замаскированные под документы. Когда жертвы открывают эти файлы, файлы LNK запускают команды PowerShell, которые извлекают вредоносные данные из таких сервисов, как Dropbox, используя поддельные документы, чтобы выглядеть легитимно и избежать обнаружения.
В ходе кампаний Kimsuky, проводившихся в марте и апреле 2025 года, в вредоносные ZIP-архивы был внедрен запутанный код VBScript и PowerShell. Эти скрипты скрытно собирали команды, развертывая вредоносное ПО для сбора нажатий клавиш, перехвата данных буфера обмена и кражи ключей криптовалютных кошельков из браузеров, включая Chrome, Edge, Firefox и Naver Whale.
В некоторых случаях стали использовать вредоносные LNK-файлы в сочетании с VBScript, которые вызывали mshta.exe для выполнения вредоносного ПО на основе DLL-библиотек непосредственно в памяти.
Примерно в тот же период Kimsuky начал развертывать собственные модули RDP Wrapper и вредоносное ПО для прокси-серверов, чтобы обеспечить скрытый удаленный доступ. Программы для кражи информации, такие как forceCopy, использовались для сбораdentданных из конфигурационных файлов браузера без срабатывания стандартных предупреждений о доступе по паролю.
Группа также злоупотребляла популярными облачными сервисами и сервисами для размещения кода. В одной из фишинговых кампаний в июне 2025 года, направленной на Южную Корею, для хранения вредоносного ПО и кражи данных использовались частные репозитории GitHub. В этих кампаниях распространялись такие вредоносные программы, как XenoRAT, а Dropbox использовался в качестве площадки для хранения украденных файлов. Такое двойное использование доверенных платформ как для доставки, так и для кражи данных позволило Kimsuky скрывать свою вредоносную деятельность в легитимном сетевом трафике.
