Группа хакеров Kimsuky, связанная с Северной Кореей, развернула изощренную многоступенчатую кампанию против южнокорейских активистов, военных и оборонных организаций. С марта по апрель 2025 года злоумышленники использовали комбинированную тактику, сочетающую соцсети, электронную почту и мессенджеры, чтобы внедрить шпионские программы серии AppleSeed. Эксперты Genians Security Center (GSC), проанализировавшие атаку, подтвердили: методы Kimsuky эволюционируют, становясь сложнее для обнаружения.
Описание
Операция началась с тщательной разведки через фейковые аккаунты в Facebook*. Под видом исследователей церковных миссий или выпускников Военно-воздушной академии Кореи злоумышленники вступали в переписку с целями, интересовавшимися помощью северокорейским перебежчикам. Им предлагали «документы о волонтерской деятельности», которые на деле являлись запароленными архивами EGG - корейским форматом сжатия, редко проверяемым антивирусами. Если жертва проявляла интерес, атака переходила на новый уровень: через Messenger запрашивали email, а затем отправляли «уточняющие материалы» уже письмом. Финал схемы - переход в Telegram, где диалог казался максимально доверительным.
Вредоносная нагрузка демонстрирует хирургическую точность. Файл «탈북민지원봉사활동.jse» (Поддержка перебежчиков.jse) при запуске создает две сущности: безобидный PDF-документ для отвлечения внимания и DLL-библиотеку vmZMXSx.eNwm. Последняя, защищенная упаковщиком VMProtect, расшифровывает себя в памяти, проверяет параметры запуска и внедряет основную полезную нагрузку - tripservice.dll. Этот модуль действует как полноценный RAT (Remote Access Trojan): собирает системные данные, шифрует их гибридным методом (RSA + RC4), маскирует под PDF и отправляет на сервер woana.n-e[.]kr. Для устойчивости в реестр добавляется автозагрузка через regsvr32.exe, а следы удаляются batch-скриптами.
Почему это опасно?
- Мультиплатформенность: Атака охватывает три канала (Facebook → Email → Telegram), что затрудняет отслеживание.
- Локализация: Использование корейских форматов (EGG), рекомендаций по установке Bandizip и языковых нюансов (с намеренными опечатками) снижает подозрительность.
- Адаптивность: В 2024 году аналогичные схемы применялись через LinkedIn под видом военных исследователей.
- Стелс-технологии: Двойное Base64-кодирование, запуск через легитимные процессы (PowerShell, regsvr32), динамическая расшифровка в памяти обходят сигнатурные системы.
AppleSeed - лишь один инструмент в арсенале Kimsuky. С 2019 года группа использовала его в атаках на ВПК, криптобиржи и фармкомпании. Анализ PDB-путей (Program Database) в ранних версиях (Utopia_v0.1/0.2) подтверждает преемственность: строки «AppleSeed.pdb» встречаются в образцах 2019-2020 гг. Совпадения найдены и в скриптах: JSE-файлы из атак 2024-2025 гг. идентичны по структуре, что указывает на автоматизированную генерацию.
Тройная комбо-атака Kimsuky - напоминание: APT-группы инвестируют в социальную инженерию не меньше, чем в эксплойты. Их цель - не массовое заражение, точечный сбор данных. Традиционные антивирусы бессильны против кастомных шифровальщиков и файлов, собранных «на заказ». Только EDR с поведенческим анализом и Threat Hunting обеспечивают видимость таких угроз. Как отмечают в GSC, в апреле 2025 их система заблокировала AppleSeed на этапе запуска JSE-скрипта, доказав эффективность проактивного подхода.
Кибербезопасность начинается с осознания: даже PDF о «благотворительности» может оказаться трояном. Доверие - роскошь, которую нельзя позволить себе в цифровую эпоху.
* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
Индикаторы компрометации
Domains
- afcafe.kro.kr
- dirwear.000webhostapp.com
- download.uberlingen.com
- hyper.cadorg.p-e.kr
- jieun.dothome.co.kr
- nauji.n-e.kr
- nocamoto.o-r.kr
- nomera.n-e.kr
- onsungtong.n-e.kr
- peras1.n-e.kr
- update.screawear.ga
- vamboo.n-e.kr
- woana.n-e.kr
MD5
- 07015af18cf8561866bc5b07e6f70d9a
- 1ae2e46aac55e7f92c72b56b387bc945
- 2a388f3428a6d44a66f5cb0b210379a0
- 2f6fe22be1ed2a6ba42689747c9e18a0
- 30741e7e4cdd8ba9d3d074c42deac9b1
- 46fd22acea614407bf11d92eb6736dc7
- 537806c02659a12c5b21efa51b2322c1
- 568f7628e6b7bb7106a1a82aebfd348d
- 5a223c70b65c4d74fea98ba39bf5d127
- 7756b4230adfa16e18142d1dbe6934af
- 779f2f4839b9be4f0b8c96f117181334
- 7a0c0a4c550a95809e93ab7e6bdcc290
- 8346d90508b5d41d151b7098c7a3e868
- afadab22f770956712e9c47460911dad
- b128c5db5d973be60f39862ba8bfb152
- b9c2111c753b09e4cc9d497f8fd314fc
- bfb02dee62c38c3385df92b308499b31
- ca3926dc6c4b2a71832a03fba366cbcd
- ec9dcef04c5c89d6107d23b0668cc1c1
- f14f332d4273de04ba77e38fd3dcff90
- f4d59b1246e861a2a626cb56c55651f0
- f960ce07c519d1e64a46c7f573eac39b
- fb3c652e795f08cc2529ed33ec1dc114
- fe8626e7c3f47a048c9f6c13c88a9463