APT43, Tallium veya Velvet Chollima olarak da bilinen Kuzey Koreli Kimuky APT organizasyonundan kapsamlı bir operasyonel döküm, devlet destekli siber casusluk nadir bir örneğinde karanlık bir web forumunda ortaya çıktı.
Sanal makine görüntüleri, VPS dökümleri, kimlik avı kitleri, rootkits ve 20.000’den fazla tarayıcı geçmiş kaydı içeren bu sızıntı, grubun altyapısına ve taktiklerine benzersiz bir bakış sunuyor.
2012’den bu yana aktif olan Kimuky, Güney Kore, ABD, Japonya ve Avrupa’da istihbarat toplanması için varlıkları hedef aldı ve kobalt grevi gibi araçlarla birlikte özel kötü amaçlı yazılım kullandı.
10 Haziran 2025 civarında, “Kim’s” Deepin Linux 20.9 VM ve VPS.BZ’ye sahip bir sunucudan yakalanan sızdırılan veriler, sadece izole edilmiş kampanyalar değil, kimlik bilimi geliştirme ve kalıcılık mekanizmaları da dahil olmak üzere tam operasyonel omurgayı ortaya koyuyor.
Siber güvenlik araştırmacıları için bu, Kimsuky’nin hükümet, savunma, telekomünikasyon ve akademi gibi sektörlere erişimi nasıl sürdürdüğünün ayrıntılı analizini sağlayan kritik bir zeka düşüşünü temsil eder.
Kimlik avı altyapısı ortaya çıktı
Döküm, TCP çalma, SSL ters kabukları ve kök seviyesi kalıcılığı içeren bir Linux LKM arka kapısı olan Tomcat çekirdeği Rootkit de dahil olmak üzere bir dizi sofistike implant açıkladı.
Eşlik eden özelleştirilmiş C2 profilleri ile özelleştirilmiş bir kobalt grev işaretiydi, 8172 numaralı bağlantı noktasında HTTP üzerinde çalışan, IE9 kullanıcı ajanlarını taklit etme ve gelişmiş gizlilik için bir Linux çekirdek modülü (HKCAP.C) ile entegre oldu.
Araştırmacılar ayrıca, 2025 Ivanti CVV’leri (CVE-2025-0283, CVE-2025-22457), kodun üst üste binen ve Çince-state ile aşamalı olarak gösteren bushfire istismar kitinin yanı sıra, kalıcı bir arka kapı hayatta kalan yamalar olan Ivanti “Rootrot” implantını ortaya çıkardılar.
Güney Kore gazetesine bağlı Hankyoreh’e (hani.co.kr) bağlı altyapıya gömülü olan Spawnchimera arka kapısı, TLS istemci merhaba paketlerini gizli C2 için CRC32 sağlama toplamlarıyla kullandı, HTTPS trafiğine karışarak tespit edildi.
Kimlik avı operasyonları, DCC.mil.kr (Güney Kore Savunma Karşı İstihbarat Komutanlığı) ve mofa.go.kr (Dışişleri Bakanlığı) gibi jeneratör.php komut dosyaları ile sanayileşti.
Günlükler, Dump’dan sadece günler önce Yüksek Savcı (Spo.go.kr), Korea.kr, Daum, Kakao ve Naver dahil olmak üzere yüksek değerli hedeflere karşı aktif kampanyalar ortaya koydu.
Dışişleri Bakanlığı’nın Nisan 2025 civarında eksfiltrat edilen e -posta sistemi kaynak kodunun sıkıştırılmış bir arşivi, potansiyel olarak arka kapı implantasyonu veya mükemmel kimlik avı yemlerini sağlayan sert kodlanmış kimlik doğrulama uç noktalarını içeriyordu.
Daha geniş sonuçlar
En endişe verici bulgular arasında, özel bir Java aracı aracılığıyla kaba bir şekilde zorlanan binlerce çalıntı Güney Koreli GPKI sertifikası ve anahtarları vardı ve yetkililerin belge imzalama ve güvenli portal erişimi için taklit edilmesine izin verdi.
Kimlik bilgisi istifleme, VPS ve e -posta hesapları arasında “1QAZ2WSX” gibi geri dönüştürülmüş kalıplarla yaygındı ve operasyonel zayıflıkları vurguladı.
Kullanıcı aracı sahtekarlığı, proxy yönetimi ve çerez manipülasyonu için tarayıcı uzantıları Tradecraft’ın altını çizerken, özel bir arka kapı kılavuzu (KO 图文编译 .doc) Çince’de kötüye kullanıma karşı uyardı.
Operatör alışkanlıkları bir insan resmini çizdi: rutin 09: 00-17: 00 Pyongyang-zaman girişleri, Google Kore-Chinese dönüşümleri için çeviri kullanımı ve Chacha20/ARC4 kriptografisinde arama.
Bu OPSEC arızaları, istismarlardaki zayıf xor şifrelemesinden kimlik bilgisi yeniden kullanımına kadar, DPRK’nın siber cihazındaki güvenlik açıklarını ortaya çıkarır.
Stratejik olarak, sızıntı, kimlik merkezli kalıcılığın altını çiziyor, sınır ötesi işbirlikleri ve fabrika benzeri kimlik avı, savunuculara mobil casusluk araçları (TOYBOX çatalı) ve Ivanti sömürü dalgaları gibi ortaya çıkan tehditler hakkında harekete geçirilebilir bilgiler sunuyor.
Bu pozlama, Kimuky’nin kampanyalarını bozabilir ve devlet aktörlerinin insan unsurlarının daha fazla izlenmesi ihtiyacını vurgulayabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!