Фишинговая инфраструктура Kimsuky раскрыта из‑за забытого архива в открытом каталоге сервера

Сервер работал под управлением Windows (на это указывает hostname DESKTOP‑USY2245 в сертификате RDP) со стеком XAMPP (Apache 2.4.58, OpenSSL 3.1.3, PHP 8.0.30). Кроме веб‑портов 80 и 443 были открыты 3389 (RDP), 5357 (WSDAPI) и 5985 (WinRM). Первые записи access‑лога датируются августом 2025 года, но пассивная история DNS показывает, что домен udalyonka.com зарегистрирован ещё в октябре 2020‑го через кипрского регистратора Danesco Trading с использованием FreeDNS‑серверов afraid.org - типичный для Kimsuky паттерн. За прошедшие годы домен менял хостинг: сначала REG.RU в Москве (до 2022 года), затем SoftLayer / IBM Cloud, ненадолго задерживался на AWS Global Accelerator и к моменту обнаружения обосновался на Vultr.

Архив htdocs.7z содержал 269 файлов в 24 каталогах. Внутри оказались три параллельных фишинговых набора, каждый из которых имитирует страницу входа в определённый сервис. Каталог "blog/" подделывает Naver Blog, "nportal/" - портал Naver, а "uinvoice/" - сайт южнокорейской налоговой службы (NTS). Все три построены на основе модифицированного обратного прокси Glype / PHProxy v0.5b2. Оригинальный Glype - открытое программное обеспечение для веб‑анонимизации, появившееся ещё в середине 2000‑х. В руках Kimsuky он превратился в инструмент перехвата учётных данных.

Механизм работы типичен для продвинутой фишинговой платформы. Когда жертва переходит по ссылке, прокси‑сервер выступает посредником между пользователем и настоящим Naver. На первом запросе отображается пиксельно точная страница "Подтверждение пароля" (файл recon.htm), которая внешне неотличима от официальной. Введённые данные перехватываются, а вместе с ними - полные сессионные cookie, включая токен NID_JST. Этот токен даёт доступ к учётной записи даже без двухфакторной аутентификации: злоумышленник может войти как жертва, не вызывая запроса на подтверждение с нового устройства. После сбора данных пользователя перенаправляют на легитимную страницу Naver, чтобы не вызвать подозрений.

Каждый скомпрометированный аккаунт получает собственную директорию на сервере, названную по адресу электронной почты жертвы. Именно этот принцип и сделал утечку столь критичной: оператор оставил дверь открытой, а внутри лежали живые логи с учётными данными. Специалисты из GHOST в отчёте подтвердили, что по крайней мере одна жертва была атакована 10 февраля 2026 года в 14:15 по корейскому времени. Пользователь с адресом ain8494@naver[.]com, находясь за IP‑адресом 175.115.14[.]22 провайдера SK Broadband, перешёл по фишинговой ссылке с мобильного устройства на Android 10 с браузером Chrome 144. Система перехватила его пароль и полный набор cookie, включая NID_JST.

Фишинговая платформа оснащена многоуровневой защитой от обнаружения. Модуль nsec.php, который операторы называют "Security Guard Code", выполняет три задачи. Во‑первых, блокирует IP‑адреса исследователей безопасности и сканеров - в списке 16 диапазонов, охватывающих Google, Microsoft, RIPE, Trustwave, AVAST, Naver, Daum, Kakao, ColoUp и net4sec. Во‑вторых, фильтрует инфраструктуру самого Naver: crawler’ы компании (например, 220.230.168.*) немедленно перенаправляются на безобидную страницу блога Naver. В‑третьих, проверяет версии браузеров - Chrome должен быть не ниже 85 (в некоторых сценариях - 97), Firefox - не ниже 80, а user‑agent’ы, содержащие "bot", "python", "HeadlessChrome" или "naver.me", блокируются. Вся информация о заблокированных посетителях записывается в файл Test_Log.txt.

Для геолокации жертв используется API сервиса extreme‑ip‑lookup.com с ключом nOaZbY9mHVAfAZ8yeAcC, жёстко прописанным в коде. Этот ключ теперь скомпрометирован, и владельцу сервиса следует его отозвать. В качестве запасного варианта применяется ip‑api.com.

Массовая рассылка фишинговых писем осуществляется через два почтовых модуля на основе PHPMailer - send_new/ и send2/. В первом жёстко прописаны 14 скомпрометированных учётных записей российских почтовых сервисов: mail.ru, list.ru, inbox.ru, bk.ru, rambler.ru и internet.ru. Все они используют SMTP‑сервер smtp.mail.ru:465 с SSL. Второй модуль принимает учётные данные через POST‑параметры при каждом запуске и работает против пяти аккаунтов Zohomail, а также использует Inbox.lv в качестве ретранслятора. Шаблон письма подставляется динамически: имя получателя, закодированная ссылка и дата генерируются на лету.

Доменная инфраструктура udalyonka.com насчитывает более двухсот поддоменов, структурированных по префиксам ffsandusr0, ffsandusr1, ffsandusr2 и ffsandusr3. Каждый префикс, по всей видимости, соответствует отдельному оператору или фазе кампании. Под этими именами скрываются страницы, мимикрирующие под десятки известных брендов: Bloomberg, GitHub, Coca‑Cola, Western Union, Samsung Securities, Sennheiser, Carl Zeiss, Schaeffler, Walmart, Henkel, а также государственные учреждения - южнокорейская налоговая служба и российский ДОМ.РФ. Такое разнообразие целей характерно для Kimsuky: группировка не ограничивается только Кореей и активно атакует организации по всему миру.

Эксфильтрация перехваченных данных осуществляется через Telegram‑бота. Пассивный DNS показывает, что поддомен coder.udalyonka.com разрешается в IP 150.241.80.3 (Aeza International, Стокгольм), на котором также висит TLS‑сертификат для tgbot.minecraft.pe. Предположительно, при захвате новой жертвы сервер отправляет уведомление в Telegram оператору. Этот канал также следует передать в службу злоупотреблений Telegram.

Особого внимания заслуживает тот факт, что опубликованный в августе 2025 года в журнале Phrack #72 дамп "APT Down: The North Korea Files" (8,9 ГБ данных с рабочей станции и VPS оператора Kimsuky) не вынудил группировку свернуть инфраструктуру. Несмотря на то что утечка содержала исходные коды генераторов фишинговых страниц, bash‑историю и скомпрометированные сертификаты, сервер 158.247.250[.]37 продолжал работу, ловил жертв в феврале 2026 года и не менял пул SMTP‑аккаунтов. Нынешнее обнаружение дополняет картину с другой стороны: Phrack показал среду разработчика, а htdocs.7z - готовое развёрнутое фишинговое решение, работающее в реальном времени.

Атрибуция Kimsuky подтверждается множеством совпадений: исключительно южнокорейские цели (Naver, налоговая служба), корейскоязычные страницы, использование обратного PHP‑прокси для перехвата (а не статических форм), фильтрация IP Naver и KISA, динамические DNS от afraid.org, хостинг на XAMPP под Windows, структура каталогов с данными каждой жертвы отдельно и темы писем, связанные со счетами и подтверждением учётной записи.

Специалистам по безопасности рекомендуется немедленно заблокировать IP‑адреса, а также добавить в DNS‑блоклисты все домены udalyonka[.]com и uncork[.]biz. На почтовых шлюзах стоит отфильтровать все 17 скомпрометированных учётных записей, перечисленных в отчёте. Факт наличия в логах параметров URL "?wreply=", "?m=qhfsmnav" или "?nhn=1" должен рассматриваться как сигнал фишинговой активности. Любая отправка учётных данных Naver на сторонний хост помимо *.naver.com - веский повод для расследования. Подтверждённой жертве (ain8494@naver.com) необходимо немедленно сменить пароль и отозвать все активные сессии в настройках аккаунта, поскольку простой смены пароля недостаточно из‑за захваченных сессионных cookie.

Этот инцидент лишний раз доказывает: даже такая дисциплинированная и хорошо оснащённая группа, как Kimsuky, допускает ошибки операционной безопасности, и одна неверно помещённая резервная копия может раскрыть работающую годами фишинговую сеть.

IPv4

• 150.241.80.3
• 158.247.240.40
• 158.247.250.37
• 169.47.130.72
• 190.92.173.54
• 194.58.112.174
• 27.102.138.45

Domains

• 19809080.uncork.biz
• binfo.eblogapp.kro.kr
• block.usermemberblg.freeddns.org
• chk.uncork.biz
• coder.udalyonka.com
• eblogapp.kro.kr
• edoc.lnkblogaddress.mydns.bz
• invoice.uncork.biz
• k.usermemberblg.freeddns.org
• lnkblogaddress.mydns.bz
• nfo.memberblogaccess.mydns.bz
• nothingcrazy.uncork.biz
• ownn.uncork.biz
• satpracticer.uncork.biz
• temporain.uncork.biz
• tgbot.minecraft.pe
• udalyonka.com
• uncork.biz
• usermemberblg.freeddns.org
• usrblinkblog.mydns.bz
• verify.udalyonka.com
• www.one.userclaimload.kro.kr

Emails

• businessking1@zohomail.com
• contact-linker@inbox.ru
• contact-linker@mail.ru
• help_master24@internet.ru
• info-sender@inbox.ru
• linksend5@zohomail.com
• linkzepto5@zohomail.com
• logansmith1@zohomail.com
• mailbox-service@list.ru
• mail-con@mail.ru
• mailconnector@inbox.ru
• maildeliver@bk.ru
• mail-linker@list.ru
• mail-linker@mail.ru
• mail-linker@rambler.ru
• mailsender2024@mail.ru
• notice-mail@inbox.ru
• notice-mail@list.ru
• zeptolink3@zohomail.com

MD5

• ac33ba08410f39cf13c9a08a01582bce

SHA256

• fbb36c3173a4b467fcc7fea566b3ddf7e72af8d5e45a8fd505ec21e61d160df9