Vào tháng 6 năm 2025, cộng đồng an ninh mạng đã bị chấn động. Một thành viên của nhóm hacker khét tiếng Bắc Triều Tiên Kimsuky APT đã trở thành nạn nhân của một vụ rò rỉ dữ liệu lớn, tiết lộ hàng trăm gigabyte tệp tin nội bộ nhạy cảm, công cụ và chi tiết hoạt động.
Theo các chuyên gia an ninh từ Slow Mist, dữ liệu bị rò rỉ bao gồm lịch sử trình duyệt, nhật ký chi tiết các chiến dịch lừa đảo, hướng dẫn cho các backdoor tùy chỉnh và các hệ thống tấn công như backdoor nhân TomCat, beacon Cobalt Strike đã được sửa đổi, exploit Ivanti RootRot, và malware Android như Toybox.
Hai Hệ thống Bị xâm phạm và Hacker "KIM"
Vụ vi phạm được liên kết với hai hệ thống bị xâm phạm do một cá nhân được biết đến với tên gọi "KIM" điều hành – một là máy trạm phát triển Linux (Deepin 20.9), còn lại là một máy chủ VPS có thể truy cập công khai.
Hệ thống Linux có thể đã được sử dụng để phát triển phần mềm độc hại, trong khi VPS lưu trữ tài liệu lừa đảo, cổng đăng nhập giả và cơ sở hạ tầng chỉ huy và kiểm soát (C2).
Cuộc rò rỉ được thực hiện bởi những kẻ hack tự xưng là “Saber” và “cyb0rg”, những người tuyên bố đã đánh cắp và công bố nội dung của cả hai hệ thống. Trong khi một số bằng chứng liên kết “KIM” với hạ tầng Kimsuky đã biết, các chỉ báo ngôn ngữ và kỹ thuật cũng gợi ý một kết nối có thể với Trung Quốc, để lại nguồn gốc thực sự không chắc chắn.
Lịch Sử Dài Của Gián Điệp Mạng
Kimsuky đã hoạt động ít nhất từ năm 2012 và có liên quan đến Cục Tình báo Tổng hợp, cơ quan tình báo chính của Bắc Triều Tiên. Nó đã lâu chuyên về gián điệp mạng nhắm vào các chính phủ, các tổ chức tư vấn, các nhà thầu quốc phòng và các trường học.
Vào năm 2025, các chiến dịch của nó - chẳng hạn như DEEP#DRIVE - dựa vào các chuỗi tấn công đa giai đoạn. Chúng thường bắt đầu với các tệp ZIP chứa các tệp lối tắt LNK được ngụy trang như tài liệu, mà khi mở ra, thực thi các lệnh PowerShell để tải xuống các payload độc hại từ các dịch vụ đám mây như Dropbox, sử dụng các tài liệu giả mạo để trông hợp pháp.
Các Kỹ Thuật và Công Cụ Nâng Cao
Vào mùa xuân năm 2025, Kimsuky đã triển khai một sự kết hợp giữa VBScript và PowerShell ẩn bên trong các tệp ZIP để:
Ghi lại các phím bấmLấy dữ liệu clipboardThu thập khóa ví tiền điện tử từ các trình duyệt (Chrome, Edge, Firefox, Naver Whale)
Kẻ tấn công cũng kết hợp các tệp LNK độc hại với VBScripts thực thi mshta.exe để tải phần mềm độc hại dựa trên DLL trực tiếp vào bộ nhớ. Họ đã sử dụng các mô-đun RDP Wrapper tùy chỉnh và phần mềm độc hại proxy để cho phép truy cập từ xa bí mật.
Các chương trình như forceCopy đã trích xuất thông tin đăng nhập từ các tệp cấu hình trình duyệt mà không kích hoạt các cảnh báo truy cập mật khẩu tiêu chuẩn.
Khai thác Nền tảng Tin cậy
Kimsuky đã lạm dụng các nền tảng đám mây và lưu trữ mã phổ biến. Trong một chiến dịch lừa đảo qua email vào tháng 6 năm 2025 nhắm vào Hàn Quốc, các kho GitHub riêng tư đã được sử dụng để lưu trữ phần mềm độc hại và dữ liệu bị đánh cắp.
Bằng cách phát tán phần mềm độc hại và lấy cắp tệp qua Dropbox và GitHub, nhóm này đã có thể ẩn hoạt động của mình trong lưu lượng mạng hợp pháp.
Luôn đi trước một bước – theo dõi hồ sơ của chúng tôi và cập nhật thông tin về mọi điều quan trọng trong thế giới tiền điện tử!
Thông báo:
,,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được xem là lời khuyên tài chính, đầu tư hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng việc đầu tư vào tiền điện tử có thể có rủi ro và có thể dẫn đến tổn thất tài chính.“
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Kimsuky của Triều Tiên bị lộ bởi rò rỉ dữ liệu lớn
Vào tháng 6 năm 2025, cộng đồng an ninh mạng đã bị chấn động. Một thành viên của nhóm hacker khét tiếng Bắc Triều Tiên Kimsuky APT đã trở thành nạn nhân của một vụ rò rỉ dữ liệu lớn, tiết lộ hàng trăm gigabyte tệp tin nội bộ nhạy cảm, công cụ và chi tiết hoạt động. Theo các chuyên gia an ninh từ Slow Mist, dữ liệu bị rò rỉ bao gồm lịch sử trình duyệt, nhật ký chi tiết các chiến dịch lừa đảo, hướng dẫn cho các backdoor tùy chỉnh và các hệ thống tấn công như backdoor nhân TomCat, beacon Cobalt Strike đã được sửa đổi, exploit Ivanti RootRot, và malware Android như Toybox.
Hai Hệ thống Bị xâm phạm và Hacker "KIM" Vụ vi phạm được liên kết với hai hệ thống bị xâm phạm do một cá nhân được biết đến với tên gọi "KIM" điều hành – một là máy trạm phát triển Linux (Deepin 20.9), còn lại là một máy chủ VPS có thể truy cập công khai.
Hệ thống Linux có thể đã được sử dụng để phát triển phần mềm độc hại, trong khi VPS lưu trữ tài liệu lừa đảo, cổng đăng nhập giả và cơ sở hạ tầng chỉ huy và kiểm soát (C2). Cuộc rò rỉ được thực hiện bởi những kẻ hack tự xưng là “Saber” và “cyb0rg”, những người tuyên bố đã đánh cắp và công bố nội dung của cả hai hệ thống. Trong khi một số bằng chứng liên kết “KIM” với hạ tầng Kimsuky đã biết, các chỉ báo ngôn ngữ và kỹ thuật cũng gợi ý một kết nối có thể với Trung Quốc, để lại nguồn gốc thực sự không chắc chắn.
Lịch Sử Dài Của Gián Điệp Mạng Kimsuky đã hoạt động ít nhất từ năm 2012 và có liên quan đến Cục Tình báo Tổng hợp, cơ quan tình báo chính của Bắc Triều Tiên. Nó đã lâu chuyên về gián điệp mạng nhắm vào các chính phủ, các tổ chức tư vấn, các nhà thầu quốc phòng và các trường học. Vào năm 2025, các chiến dịch của nó - chẳng hạn như DEEP#DRIVE - dựa vào các chuỗi tấn công đa giai đoạn. Chúng thường bắt đầu với các tệp ZIP chứa các tệp lối tắt LNK được ngụy trang như tài liệu, mà khi mở ra, thực thi các lệnh PowerShell để tải xuống các payload độc hại từ các dịch vụ đám mây như Dropbox, sử dụng các tài liệu giả mạo để trông hợp pháp.
Các Kỹ Thuật và Công Cụ Nâng Cao Vào mùa xuân năm 2025, Kimsuky đã triển khai một sự kết hợp giữa VBScript và PowerShell ẩn bên trong các tệp ZIP để: Ghi lại các phím bấmLấy dữ liệu clipboardThu thập khóa ví tiền điện tử từ các trình duyệt (Chrome, Edge, Firefox, Naver Whale) Kẻ tấn công cũng kết hợp các tệp LNK độc hại với VBScripts thực thi mshta.exe để tải phần mềm độc hại dựa trên DLL trực tiếp vào bộ nhớ. Họ đã sử dụng các mô-đun RDP Wrapper tùy chỉnh và phần mềm độc hại proxy để cho phép truy cập từ xa bí mật. Các chương trình như forceCopy đã trích xuất thông tin đăng nhập từ các tệp cấu hình trình duyệt mà không kích hoạt các cảnh báo truy cập mật khẩu tiêu chuẩn.
Khai thác Nền tảng Tin cậy Kimsuky đã lạm dụng các nền tảng đám mây và lưu trữ mã phổ biến. Trong một chiến dịch lừa đảo qua email vào tháng 6 năm 2025 nhắm vào Hàn Quốc, các kho GitHub riêng tư đã được sử dụng để lưu trữ phần mềm độc hại và dữ liệu bị đánh cắp.
Bằng cách phát tán phần mềm độc hại và lấy cắp tệp qua Dropbox và GitHub, nhóm này đã có thể ẩn hoạt động của mình trong lưu lượng mạng hợp pháp.
#NorthKoreaHackers , #tấn công mạng , #CyberSecurity , #lừa đảo lừa đảo , #thếgiớitintức
Luôn đi trước một bước – theo dõi hồ sơ của chúng tôi và cập nhật thông tin về mọi điều quan trọng trong thế giới tiền điện tử! Thông báo: ,,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được xem là lời khuyên tài chính, đầu tư hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng việc đầu tư vào tiền điện tử có thể có rủi ro và có thể dẫn đến tổn thất tài chính.“