朝鲜大型黑客组织的活动在疑似数据泄露事件中曝光

一个大型朝鲜黑客组织被曝卷入一起涉嫌数据泄露事件，涉及两个被入侵的系统，其中一名 Kimsuky APT 成员疑似遭遇大规模数据泄露。.

疑似朝鲜 黑客组织 Kimsuky 高级持续性威胁 (APT) 的一名成员遭遇重大数据泄露，导致数百 GB 的内部文件和工具泄露。

朝鲜黑客组织涉嫌数据泄露事件曝光

据 Slow Mist 安全研究人员称，泄露的 Kimsuky 黑客数据包括浏览器历史记录、网络钓鱼活动日志、自定义后门手册以及攻击系统，例如 TomCat 内核后门、修改后的 Cobalt Strike 信标、Ivanti RootRot 和基于 Android 的恶意软件变种（如 Toybox）。.

报告怀疑数据泄露发生在2025年6月初，并 trac与化名“KIM”的Kimsuky运营者相关的两个被入侵的系统。其中一个是运行Deepin 20.9的Linux开发工作站，另一个是面向公众的VPS服务器。Linux系统很可能被用作恶意软件开发环境，而另一个VPS服务器则托管了鱼叉式网络钓鱼材料，包括虚假登录门户和命令与控制链接。.

此次入侵事件的幕后黑客自称“Saber”和“cyb0rg”，他们声称已入侵并窃取了两个系统的内容，并将其发布到网上。虽然一些迹象表明“KIM”与Kimsuky已知的系统基础设施有关，但其他语言和技术线索则暗示其可能与中国有关，因此目前KIM的来源仍未确定。

Kimsuky至少从2012年就开始运营了。

金硕基自2012年朝鲜侦察总局成立以来就与其有联系。该组织长期以来专门从事网络间谍活动，目标包括政府、智库、国防trac和学术界。.

2025年初，Kimsuky发起的类似DEEP#DRIVE的攻击活动采用多阶段入侵链，首先发送包含伪装成文档的Windows快捷方式（LNK）文件的压缩ZIP文件。当受害者打开这些文件时，LNK文件会启动PowerShell命令，从Dropbox等服务中检索恶意载荷，并利用诱饵文档使其看起来合法，从而逃避检测。.

Kimsuky在2025年3月和4月发起的攻击活动中，将杂乱的VBScript和PowerShell代码嵌入恶意ZIP压缩包中。这些脚本会秘密地组合命令，部署恶意软件，以收集键盘输入、捕获剪贴板数据，并从包括Chrome、Edge、Firefox和Naver Whale在内的浏览器中窃取加密货币钱包密钥。.

一些攻击手段转向使用恶意 LNK 文件，并配合 VBScript 调用 mshta.exe，直接在内存中执行基于反射 DLL 的恶意软件。.

大约在同一时期，Kimsuky开始部署定制的RDP包装器模块和代理恶意软件，以实现隐蔽的远程访问。诸如forceCopy之类的信息窃取程序被用来从浏览器配置文件中窃取dent而不会触发标准的密码访问警报。.

该组织还滥用了流行的云服务和代码托管服务。在2025年6月针对韩国发起的一次鱼叉式网络钓鱼攻击中，他们利用私有的GitHub代码库存储恶意软件和窃取的数据。这些攻击活动投放了诸如XenoRAT之类的恶意载荷，同时利用Dropbox作为窃取文件的中转站。这种利用可信平台进行数据投放和窃取的双重手段，使得Kimsuky能够将其恶意活动隐藏在合法网络流量之中。