一个大型朝鲜黑客组织被曝卷入一起涉嫌数据泄露事件,涉及两个被入侵的系统,其中一名 Kimsuky APT 成员疑似遭遇大规模数据泄露。.
疑似朝鲜 黑客组织 Kimsuky 高级持续性威胁 (APT) 的一名成员遭遇重大数据泄露,导致数百 GB 的内部文件和工具泄露。
朝鲜黑客组织涉嫌数据泄露事件曝光
据 Slow Mist 安全研究人员称,泄露的 Kimsuky 黑客数据包括浏览器历史记录、网络钓鱼活动日志、自定义后门手册以及攻击系统,例如 TomCat 内核后门、修改后的 Cobalt Strike 信标、Ivanti RootRot 和基于 Android 的恶意软件变种(如 Toybox)。.
报告怀疑数据泄露发生在2025年6月初,并 trac与化名“KIM”的Kimsuky运营者相关的两个被入侵的系统。其中一个是运行Deepin 20.9的Linux开发工作站,另一个是面向公众的VPS服务器。Linux系统很可能被用作恶意软件开发环境,而另一个VPS服务器则托管了鱼叉式网络钓鱼材料,包括虚假登录门户和命令与控制链接。.
幕后黑客 入侵事件的自称“Saber”和“cyb0rg”,他们声称已入侵并窃取了两个系统的内容,并将其发布到网上。虽然一些迹象表明“KIM”与Kimsuky已知的系统基础设施有关,但其他语言和技术线索则暗示其可能与中国有关,因此目前KIM的来源仍未确定。
Kimsuky至少从2012年就开始运营了。
金硕基自2012年朝鲜侦察总局成立以来就与其有联系。该组织长期以来专门从事网络间谍活动,目标包括政府、智库、国防trac和学术界。.
2025年初,Kimsuky发起的类似DEEP#DRIVE的攻击活动采用多阶段入侵链,首先发送包含伪装成文档的Windows快捷方式(LNK)文件的压缩ZIP文件。当受害者打开这些文件时,LNK文件会启动PowerShell命令,从Dropbox等服务中检索恶意载荷,并利用诱饵文档使其看起来合法,从而逃避检测。.
Kimsuky在2025年3月和4月发起的攻击活动中,将杂乱的VBScript和PowerShell代码嵌入恶意ZIP压缩包中。这些脚本会秘密地组合命令,部署恶意软件,以收集键盘输入、捕获剪贴板数据,并从包括Chrome、Edge、Firefox和Naver Whale在内的浏览器中窃取加密货币钱包密钥。.
一些攻击手段转向使用恶意 LNK 文件,并配合 VBScript 调用 mshta.exe,直接在内存中执行基于反射 DLL 的恶意软件。.
大约在同一时期,Kimsuky开始部署定制的RDP包装器模块和代理恶意软件,以实现隐蔽的远程访问。诸如forceCopy之类的信息窃取程序被用来从浏览器配置文件中窃取dent而不会触发标准的密码访问警报。.
发起的一次鱼叉式网络钓鱼攻击中 韩国,他们利用私有的GitHub代码库存储恶意软件和窃取的数据。这些攻击活动投放了诸如XenoRAT之类的恶意载荷,同时利用Dropbox作为窃取文件的中转站。这种利用可信平台进行数据投放和窃取的双重手段,使得Kimsuky能够将其恶意活动隐藏在合法网络流量之中。
