Новое расследование южнокорейского AhnLab Security Intelligence Center (ASEC) выявило сложную операцию китайских хакеров, которые сознательно маскировали свою деятельность под северокорейскую группировку Kimsuky. Группа, идентифицированная как Larva-25010 и связанная с APT41, более года проводила целевые атаки на правительственные учреждения, военные организации и телекоммуникационные компании Южной Кореи, а также осуществляла разведывательную деятельность против целей в Японии и Тайване.
Описание
Отправной точкой для расследования стал отчет «APT Down: the North Korea Files», обнародованный на конференции Defcon 33 в августе этого года. Исследователи кибербезопасности под псевдонимами saber и cyb0rg представили анализ дампа данных с рабочей станции злоумышленника, изначально атрибутировав его участнику группы Kimsuky, связанной с КНДР. Однако последующее глубокое исследование ASEC, основанное на семи публикациях «Угрозных заметок» и дополнительном анализе, опровергло первоначальную версию и раскрыло истинное происхождение атак.
Ключевым открытием стала языковая и поведенческая характеристика злоумышленников. Анализ их активности показал, что они не владеют корейским языком, используют китайский в качестве основного, а их рабочий график соответствует стандартному офисному с 9 до 18 часов по будням с полным отсутствием активности в выходные и праздничные дни. Это свидетельствует о том, что атаки проводятся не независимыми хакерами, а членами корпоративной структуры, вероятно, государственного или полугосударственного уровня, связанной с APT41. Установлено, что эта группа сотрудничала с Kimsuky, используя ее репутацию для операций прикрытия и дезориентации специалистов по кибербезопасности.
Атаки носили многоцелевой и многоэтапный характер. Против южнокорейских целей злоумышленники развернули фишинговую инфраструктуру, имитирующую страницы входа популярных местных сервисов Naver и Kakao, для кражи учетных данных. Были зафиксированы попытки эксплуатации уязвимости в продуктах Ivanti (CVE-2025-0282), а также инциденты, связанные с утечкой данных и сертификатов от продуктов APPM. В отношении японских и тайваньских целей преобладала разведывательная активность, включавшая сканирование сетей на предмет наличия уязвимостей в межсетевых экранах Palo Alto и серверных продуктах JBoss/WildFly в Тайване, а также поиск уязвимостей в решениях Sophos в Японии.
Арсенал используемых вредоносных программ (malicious software) был типичен для продвинутых групп. Операторы использовали бэкдор TinyShell для удаленного доступа, руткит Syslogk для сокрытия своего присутствия в системе и фреймворк Cobalt Strike для управления компрометированными машинами и организации канала утечки данных. Применение руткита, в частности, указывает на высокий уровень технической подготовки и стремление обеспечить долгосрочное присутствие в целевых сетях.
Этот случай наглядно демонстрирует растущую сложность атрибуции кибератак и использование группами тактики ложного флага. Прикрываясь деятельностью другой, хорошо известной группы, китайские хакеры пытались запутать следы и направить расследование по ложному пути. Подобные методы осложняют работу служб безопасности и проведение политического реагирования. Эксперты ASEC подчеркивают, что организациям в регионе необходимо усилить мониторинг не только за известными северокорейскими угрозами, но и за инструментарием, характерным для китайских APT-групп, уделяя особое внимание своевременному обновлению ПО для закрытия известных уязвимостей, таких как CVE-2025-0282 в решениях Ivanti.
Индикаторы компрометации
IPv4
- 104.167.16.97
Domains
- websecuritynotices.com
MD5
- 00dfce9ad207f77397dbbb6791d64a9e
- 1d475427100ad95edca070d75fa3b267
- 2c0fbdb97439e079bbd8919c39598508
- 36d2be6eb548aee37852f7fbf38dcf30
- 3b76316810d61e114015af617c5d0408
