Исследователи кибербезопасности выявили новую инфраструктуру северокорейской хакерской группы Kimsuky, которая на протяжении как минимум пяти лет использовала один и тот же виртуальный сервер в Сеуле для масштабных фишинговых кампаний против южнокорейских целей. Анализ показывает, что злоумышленники создали разветвлённую сеть поддельных доменов, имитирующих ключевые государственные и коммерческие сервисы Республики Корея, и поддерживают её в состоянии постоянной готовности к атакам. Этот случай демонстрирует высокий уровень операционной выдержки и скрытности, характерный для продвинутых угроз (APT), финансируемых государством.
Описание
Обнаруженный сервер с IP-адресом 158.247.210[.]58 размещён у хостинг-провайдера Vultr в Сеуле и является уже третьим подобным узлом в инфраструктуре Kimsuky, выявленным аналитиками в этом регионе за последние недели. Его уникальность заключается в исключительно долгом жизненном цикле. Согласно данным пассивного DNS, сервер находится под контролем злоумышленников с сентября 2020 года, когда на него ссылался домен johnnytogdstudio[.]xyz. Такой срок - более пяти лет - является необычно долгим для одного облачного ресурса, используемого в кибероперациях, и указывает на стабильные каналы финансирования или использования скомпрометированных платёжных средств.
В течение последних 18 месяцев, с октября 2025 по апрель 2026 года, исследователи зафиксировали активное использование этого сервера. За этот период на него указывали более 60 доменных имён, сгруппированных в три основные категории для целевого фишинга. Первая и наиболее многочисленная категория имитирует сервисы южнокорейского интернет-портала Naver, включая систему аутентификации Naver ID (NID), облачное хранилище Naver Cloud и корпоративные сервисы. Вторая категория доменов выдаёт себя за онлайн-систему Национальной налоговой службы Южной Кореи (HomeTax), что является классической тактикой Kimsuky, особенно активной в периоды сдачи налоговой отчётности. Третья группа доменов имитирует общие государственные порталы, использующие домен верхнего уровня .go.kr.
Оперативно значимой деталью является способ регистрации этих доменов. Вместо покупки традиционных доменных имён злоумышленники активно и циклично использовали бесплатные или крайне дешёвые сервисы динамического DNS (DDNS), такие как mydns[.]vc, dynv6[.]net, dns[.]army и другие. За 18 месяцев наблюдалось минимум четыре этапа ротации между различными DDNS-провайдерами. Эта тактика, подробно описанная в отчёте исследователей, позволяет легко и анонимно создавать и отзывать поддельные адреса, усложняя их блокировку средствами безопасности. Смещение в сторону менее распространённых сервисов вроде dns.army в последние месяцы может свидетельствовать о реакции злоумышленников на попадание предыдущих провайдеров в чёрные списки.
На текущий момент, по состоянию на конец апреля 2026 года, веб-порты на сервере закрыты, и активные фишинговые страницы не обслуживаются. Однако 31 доменное имя по-прежнему указывает на этот IP-адрес, поддерживая DNS-записи в актуальном состоянии. Это классическая тактика "припаркованной" инфраструктуры: злоумышленники подготовили каналы для атаки, которые можно активировать за считанные минуты, просто развернув фишинговый набор на сервере и открыв порты. Такая модель соответствует известному операционному ритму Kimsuky, когда кампании запускаются на короткие, стратегически важные периоды, например, во время налоговых дедлайнов или важных политических событий, после чего активность сворачивается, но инфраструктура остаётся на низком старте.
Обнаружение этого долгоживущего сервера расширяет понимание масштабов и методов работы северокорейских хакеров. Устойчивое предпочтение конкретного хостинг-провайдера и региона (Vultr, Сеул) не случайно. Размещение вредоносной инфраструктуры в географической близости к целям снижает сетевую задержку, что делает фишинговые страницы более отзывчивыми и правдоподобными, а также помогает трафику злоумышленников сливаться с легитимным локальным сетевым потоком, потенциально затрудняя его обнаружение. Долгосрочное содержание инфраструктуры говорит о её высокой операционной ценности для группы и указывает на необходимость для специалистов по безопасности рассматривать подобные активы не как разовые угрозы, а как постоянные компоненты ландшафта угроз, требующие непрерывного мониторинга.
Индикаторы компрометации
IPv4
- 158.247.210.58
- 158.247.219.150
- 158.247.250.37
Domains
- johnnytogdstudio.xyz
- mdlog.mydns.vc
- n-cloud.htax-store.dns.navy
- n-corp.htax-auth.dns.navy
- nid-login.nts-gov.dns.army
- nid-user.nts-auth.dns.army
- n-store.nskrm.dynv6.net
- ntdersg.mydns.jp
- nts-login.n-auth.kro.kr
- nuser-login.govkr.dns.army
- nversg.mydns.jp
