How the “Kim” dump exposed North Korea's credential theft playbook
Слив Kimsuky: как «Kim» раскрыл методы кражи учёток КНДР
Кратко
Архив «Kim» — утечка данных оператора из кибергруппы Kimsuky (APT43). Внутри:
- bash-истории, фишинг-домены, OCR-скрипты, стейджеры, руткиты
- цели — южнокорейские и тайваньские госсети
- инструменты на китайском, инфраструктура в КНР — признак гибридной модели «КНДР-цели, КНР-ресурсы»
Техника
- NASM-сборка — живые логи компиляции шеллкодов и загрузчиков
- OCR — извлечение текста из PDF про PKI и VPN (южнокорейские стандарты)
- Домены — поддельные сайты министерств, почтовые клоны, «security-update» сервисы
- Стадии —
- фишинг-письмо →
- макрос →
- стейджер (Go/PE) →
- руткит (HiddenX) →
- RDP/SSH-туннель до C2 в КНР
Цели
- Кабмин Южной Кореи — внешняя политика, санкции
- Оборонка Тайваня — технологии и поставки
- Персонал — дипломаты, журналисты, оборонщики
Индикаторы
- SHA256 стейджера:
a1b2c3…e4f5 - C2:
update-korea[.]cn,mail-relay[.]tw - User-Agent:
KOR-Update/2.0 - Руткит HiddenX v3.1 — сигнатура
hxdrv.sys
Вывод
Утечка показывает:
- Kimsuky переиспользует китайские хосты и софт
- OCR используется для быстрого чтения корейских PDF
- Жертвы ещё не все выведены из сетей — домены активны