Um depósito operacional abrangente da organização norte-coreana Kimsuky Apt, também conhecida como APT43, Thallium ou Velvet Chollima, apareceu em um fórum da Web Dark em um exemplo incomum de espionagem cibernética patrocinada pelo Estado.
Esse vazamento, compreendendo imagens de máquinas virtuais, dumps VPS, kits de phishing, rootkits e mais de 20.000 registros de histórico do navegador, fornece um vislumbre incomparável da infraestrutura e táticas do grupo.
Ativo desde 2012, Kimsuky tem como alvo entidades na Coréia do Sul, EUA, Japão e Europa para reunir de inteligência, empregando malware personalizado ao lado de ferramentas como o Cobalt Strike.
Os dados vazados, capturados por volta de 10 de junho de 2025, do operador “Kim’s” Deepin Linux 20,9 VM e um servidor hospedado em VPS.BZ, expõem não apenas campanhas isoladas, mas a espinha dorsal operacional, incluindo caches de credenciais, Desenvolvimento de malwaree mecanismos de persistência.
Para os pesquisadores de segurança cibernética, isso representa uma inesperada de inteligência crítica, permitindo uma análise detalhada de como Kimsuky mantém acesso em setores como governo, defesa, telecomunicações e academia.
Infraestrutura de phishing revelada
O lixão divulgou um conjunto de implantes sofisticados, incluindo o Rootkit do Kernel Tomcat, um backdoor Linux LKM com batida no TCP, conchas reversas SSL e persistência no nível da raiz.
Acompanhando, era um farol de greve de cobalto personalizado com perfis C2 personalizados, operando sobre HTTP na porta 8172, falsificando agentes de usuários do IE9 e integrando -se a um módulo Linux Kernel (HKCAP.C) para obter uma furtividade aprimorada.
Os pesquisadores também descobriram o implante Ivanti “Rootrot”, um ponto de sobrevivência persistente de backdoor, ao lado do kit de exploração de incêndios no mato que explora 2025 CVEs ivanti (CVE-2025-0282, o código de sugestão do CVE-STEROT.
O Backdoor de SpawnChimeraincorporado em infraestrutura vinculada ao jornal sul -coreano The Hankyoreh (hani.co.kr), utilizou os pacotes Hello Client TLS com CRC32 SOMS para o Covert C2, evitando a detecção misturando -se no tráfego HTTPS.
As operações de phishing foram industrializadas via gerador.php scripts de spoofing domínios como dcc.mil.kr (comando de contrainteligência de defesa sul -coreana) e mofa.go.kr (Ministério das Relações Exteriores), com config.php BlackListing IPS do Google e tendência micro para fazer a varredura automatizada.
Logs revelado Campanhas ativas contra metas de alto valor, incluindo o Gabinete do Promotor Supremo (SPO.GO.KR), Coréia.kr, Daum, Kakao e Naver, poucos dias antes do depósito.
Um arquivo compactado do código -fonte do sistema de email do Ministério das Relações Exteriores, exfiltrado por volta de abril de 2025, incluiu terminais de autenticação codificados, potencialmente permitindo implantação de backdoor ou iscas de phishing perfeito.
Implicações mais amplas
Entre as descobertas mais alarmantes estavam milhares de certificados e chaves de GPKI sul-coreanos, forçados a brutos por meio de uma ferramenta Java personalizada, permitindo a representação de funcionários para assinatura de documentos e acesso portal seguro.
A acumulação de credenciais era galopante, com padrões reciclados como “1qaz2wsx” nas contas de VPS e email, destacando as fraquezas operacionais.
Extensões do navegador para falsificação agente do usuário, gerenciamento de proxy e manipulação de biscoitos destacaram o tradecraft, enquanto um manual de backdoor personalizado (KO 图文编译 .doc) alertou contra o uso indevido em chinês.
Hábitos do operador pintaram uma figura humana: rotina 09: 00-17: 00 Logins de tempo pyongyang, o Google traduzir uso para conversões coreano para chinesas e pesquisas na criptografia chacha20/arc4.
Essas falhas do OPSEC, desde a fraca criptografia XOR nas façanhas até a reutilização de credenciais, exponha vulnerabilidades no aparelho cibernético da RPDC.
Estrategicamente, o vazamento ressalta a persistência centrada na credencial, as colaborações transfronteiriças e o phishing semelhante a uma fábrica, oferecendo aos defensores insights acionáveis sobre ameaças emergentes, como ferramentas de espionagem móvel (bifão de brinquedos) e ondas de exploração de Ivanti.
Essa exposição pode atrapalhar as campanhas de Kimsuky, enfatizando a necessidade de um monitoramento aprimorado dos elementos humanos dos atores do estado.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!