В мае 2025 года центр анализа угроз AhnLab Security Intelligence Center (ASEC) обнаружил масштабную операцию кибершпионажа, связанную с группировкой Kimsuky, в ходе отслеживания вредоносного программного обеспечения, подписанного утекшим сертификатом южнокорейской компании. Операция получила кодовое обозначение Larva-25004. Расследование показало, что группа аффилирована с Северной Кореей и действует с августа 2023 года, нацеливаясь на предприятия оборонной промышленности, государственные корпорации и научно-исследовательские институты Южной Кореи.
Описание
Группа Larva-25004 использует изощренные методы целевых атак. Основным вектором стали фишинг-рассылки, где исполняемые файлы маскировались под документы с расширениями JSE, PIF и SCR, представляясь рабочими материалами - опросами, отчетами и инструкциями. Однако более оригинальным методом стала компрометация серверов обновлений корпоративного мессенджера Bizbox Alpha, разработанного компанией Douzone Bizon. Злоумышленники заменяли легитимные файлы мессенджера на модифицированные версии, содержащие вредоносный код. При запуске программа автоматически загружала обновление с подконтрольного хакерам сервера, что приводило к заражению системы. После выполнения полезной нагрузки вредоносная версия самоуничтожалась, оставляя только оригинальный файл, что значительно затрудняло обнаружение инцидента.
Арсенал группы включает множество специализированных вредоносных программ. До 2024 года в качестве бэкдора использовался HttpSpy, а с 2025 года основным финальным payload стал Memload. Обнаруженные в марте-мае 2025 года варианты Memload содержали случайные данные в конце файла, увеличивая его размер до десятков и сотен мегабайт - эта техника позволяла изменять хэш-сумму каждого экземпляра и усложнять детектирование. Варианты, обнаруженные после августа 2025 года, были упакованы, а некоторые из них не запускались в виртуальной среде. В середине сентября 2025 года был обнаружен новый бэкдор HttpTroy.
Отдельного внимания заслуживает использование украденных цифровых сертификатов. Некоторые дропперы были подписаны легитимными сертификатами компаний DATASOLUTION, CJ Olive Networks и Nexaweb, что придавало вредоносным файлам видимость доверенного программного обеспечения. Изначально сигнатурой CJ Olive Networks заинтересовалась китайская исследовательская группа RedDrip Team, после чего ASEC провела расследование других файлов, подписанных этим сертификатом, и обнаружила связь с бэкдором HttpSpy, впервые обнаруженным в 2023 году.
Анализ кода указывает на разработчика под псевдонимом Niki, который создавал основные инструменты группы - Dropper, HttpSpy, HttpTroy, Memload и NikiDoor. В путях отладочной информации (PDB) некоторых образцов встречается строка "Troy", которая также присутствовала в вредоносном ПО, вызвавшем сбой системы 20 марта 2013 года, что может указывать на связь с тем инцидентом или влияние на разработчика. Кроме того, в некоторых атаках одновременно использовалось вредоносное ПО группы Lazarus, что порождает вопросы о возможных связях между этими северокорейскими группировками.
На зараженных системах злоумышленники устанавливали прокси-серверы для организации скрытого канала связи, использовали InfoStealer для сбора системной информации и программу Everything для поиска документов. Это свидетельствует о комплексном подходе к сбору разведывательных данных и создании устойчивой инфраструктуры для долгосрочного шпионажа.
Обнаружение операции Larva-25004 демонстрирует эволюцию тактики северокорейских хакерских группировок, которые активно используют компрометацию цепочек поставок программного обеспечения и легитимных сертификатов для придания видимости доверия своим инструментам. Длительный период активности - с августа 2023 года по сентябрь 2025 года - указывает на высокую устойчивость и целеустремленность группы. Для организаций оборонного и исследовательского сектора критически важным становится усиление контроля целостности программного обеспечения, мониторинг нестандартного сетевого трафика и внедрение поведенческих систем обнаружения аномалий, способных выявлять сложные многостадийные атаки даже при использовании легитимных инструментов и обходе традиционных сигнатурных методов защиты.
Индикаторы компрометации
URLs
- http://174.138.179.167:8080/ev.img
- http://alepiv.groups.id/index.php
- http://gsegse.dasfesfgsegsefsede.o-r.kr/login.php
- http://rscnode.dothome.co.kr/index.php
- http://rscnode.dothome.co.kr/upload.php
MD5
- 0f06fe847a43108a211233a9c7aa9780
- 1d12091658f51cdf2e966dde1eaed5ab
- 24072ca44aa156f2892b2ddd6e3901e1
- 27d4ff7439694041ef86233c2b804e1f
- 3867578cce21409db559c73db3d7f347
