Утечка инструментов северокорейской хакерской группы Kimsuky раскрыла методы шпионажа против Южной Кореи

Kimsuky, также известная как APT43 или Thallium, является подконтрольной правительству КНДР группой повышенной угрозы (APT), которая на протяжении многих лет целенаправленно атакует южнокорейские организации, включая исследовательские институты, промышленные предприятия и государственные учреждения. Основной целью группировки является сбор разведывательной информации.

Утечка произошла с компьютера оператора, условно названного «KIM», и включает в себя два основных набора данных: образ виртуальной машины с системой разработки и резервную копию публичного VPS-сервера, используемого для фишинговых атак. Данные были получены приблизительно 10 июня 2025 года.

Среди наиболее тревожных находок - доказательства успешных атак на ключевые оборонные и правительственные ведомства Южной Кореи. Логи и конфигурационные файлы демонстрируют проведение фишинговых кампаний против Командования оборонной контрразведки (DCC) Южной Кореи всего за три дня до утечки. В распоряжении хакеров оказались учетные данные сотрудников DCC, что свидетельствует о потенциальном успехе операции.

Кроме того, в данных обнаружена полная копия почтовой платформы Министерства иностранных дел Южной Кореи (mofa.go.kr), исходный код которой, судя по датам модификации файлов, был похищен совсем недавно. Анализ также указывает на то, что злоумышленник имел доступ к внутренней правительственной сети Onnara, используя специализированные инструменты для автоматизации запросов к внутренним серверам, недоступным из публичного интернета.

Технический анализ утечки выявил арсенал sophisticated-инструментов, используемых группировкой. Среди них - генератор фишинговых страниц, тщательно скрывающий атаки от систем обнаружения; пользовательский и ядерный руткит для скрытного удаленного доступа к серверам под видом легитимного трафика Tomcat; приватные версии фреймворка Cobalt Strike; а также инструменты для кражи и взлома правительственных сертификатов GPKI, используемых для электронной подписи документов.

Особый интерес представляет крайне слабая операционная безопасность (OPSEC) оператора. В данных обнаружены скриншоты его рабочего стола, полная история браузера с посещенными сайтами и поисковыми запросами, а также многочисленные файлы с паролями в открытом виде. Эти пароли, включая доступ к VPS и почтовым аккаунтам, оказались рабочими, что позволило исследователям проверить их подлинность. История браузера также показывает активный поиск инструментов для взлома и даже кражу лицензии на дизассемблер IDA Pro.

Атрибуция инцидента группировке Kimsuky основана на множестве факторов. К ним относятся языковые признаки (корейская локаль системы), совпадение целей и TTPs (тактик, техник и процедур) с ранее известными атаками Kimsuky, а также строгое соблюдение рабочего графика по Пхеньянскому времени - подключения происходили около 9:00 и отключения около 17:00.

Утечка имеет огромное значение для глобального сообщества кибербезопасности. Она предоставляет беспрецедентную возможность изучить внутреннюю кухню одной из самых активных государственных хакерских группировок, понять их методы разработки, инструменты и процедуры. Это позволит значительно улучшить системы защиты и обнаружения для правительственных и критически важных организаций по всему миру, которые могут стать мишенью подобных атак. Данный инцидент наглядно демонстрирует сохраняющуюся высокую активность северокорейских хакеров в киберпространстве и их постоянную эволюцию.

IPv4

• 104.167.16.97
• 156.59.13.153
• 185.56.91.21
• 192.64.119.241
• 203.234.192.200
• 27.255.80.170
• 45.133.194.126
• 80.240.25.169

Domains

• aadcdn-msauth-84311529.websecuritynotice.com
• aadcdn-msftauth-25ae5ec6.websecuritynotice.com
• aadcdn-msftauth-55e5273a.websecuritynotice.com
• aadcdn-msftauth-84311529.websecuritynotice.com
• aldeid.com
• appletls.com
• asawicki.info
• devglan.com
• download.sponetcloud.com
• dysoni91.tutamail.com
• email.mofa.go.kr
• johnwu.cc
• lcs.nid-security.com
• login.websecuritynotice.com
• mail.mofa.go.kr
• maskray.me
• monovm.com
• nextforum-online.com
• nid.navermails.com
• nid.nid-security.com
• nid-security.com
• ns4.1domainregistry.com
• onnara9.saas.gcloud.go.kr
• prod-msocdn-25ae5ec6.websecuritynotice.com
• prod-msocdn-55e5273a.websecuritynotice.com
• prod-msocdn-84311529.websecuritynotice.com
• prod-msocdn-c7b8a444.websecuritynotice.com
• purevpn.com.tw
• qwqdanchun.com
• r4-res-office365-55e5273a.websecuritynotice.com
• r4-res-office365-84311529.websecuritynotice.com
• rakuya.com.tw
• rcaptcha.nid-security.com
• redteaming.top
• res-cdn-office-84311529.websecuritynotice.com
• reversecoding.net
• sg24.vps.bz
• sharing.sponetcloud.com
• sts-glb-nokia-346189f1.websecuritynotice.com
• webcloud-notice.com
• websecuritynotice.com
• websecuritynotices.com
• wiseindy.com
• wwh1004.com
• www.nid-security.com
• www.synacktiv.com
• www.websecuritynotices.com
• www-microsoft.websecuritynotice.com
• wwwoffice.websecuritynotice.com
• zoogvpn.com
• zwkd3e3wbc.nid-security.com

URLs

• http://email.mofa.go.kr:8080/mail/sso?type=login
• http://email.mofa.go.kr:8190/mail/sso?type=login
• http://mail.mofa.go.kr:8080/mail/sso?type=unseenMails
• http://nid-security.com/cert.pem
• http://www.websecuritynotices.com/request.php?i=amhraW0xQGtsaWQub3Iua3I=
• https://dcc.mil.kr
• https://monovm.com
• https://nid.nid-security.com/bigfileupload/download?h=UJw39mzt3bLZOESuajYK1h-G1UlFavI1vmLUbNvCrX80-AtVgL7TIsphr1hlrvKOdOR-dbnMHVV7NJ4N
• https://onnara9.saas.gcloud.go.kr/
• https://onnara9.saas.gcloud.go.kr/SSO.do
• https://sg24.vps.bz:4083
• https://sharing.sponetcloud.com/bigfile/v1/urls/view?shareto=aGFudGFlaHdhbkBzcG8uZ28ua3I=
• https://sharing.sponetcloud.com/logo.png?v=bG1lMjc2MUBzcG8uZ28ua3I=

MD5

• c5b6350189a4d960eee8f521b0a3061d

SHA1

• 2bcef4444191c7a5943126338f8ba36404214202
• 3e8b9d045dba5d4a49f409f83271487b5e7d076f
• e6be345a13641b56da2a935eecfa7bdbe725b44e