Kuzey Kore’nin kötü şöhretli Kimuky Casusluk Grubu üyesi, içeriden gelenler yüzlerce gigabayt iç dosya ve araç sızdırdıktan sonra önemli bir veri ihlali yaşadı.
Haziran 2025’in başlarında ortaya çıkan ihlal, grubun sofistike arka kapılarını, kimlik avı çerçevelerini ve keşif operasyonlarını ortaya çıkardı ve devlet destekli tehdit oyuncusu için nadir bir gerileme işaret etti.
Sızdıran arşivin analizine göre, içeriden döküm, “Kim” takma adı tarafından bilinen bir Kimuky operatörüne ait iki uzlaşmacı sistemden kaynaklandı.
Birincisi Deepin 20.9’u yöneten bir Linux geliştirme iş istasyonuydu; diğeri, mızrak aktı kampanyaları için kullanılan kamuya açık bir VP’ler.
Toplu olarak, çöplükler, özel bir Tomcat çekirdeği seviyesi arka kapı, özel bir kobalt grev işareti ve Android tabanlı bir oyuncak çatalı da dahil olmak üzere grubun tam implant cephaneliğini ortaya koyuyor.
Savunma Karşı Zorlama Komutanlığı (DCC.MIL.KR) ve Dışişleri Bakanlığı (MOFA.GO.KR) gibi yüksek profilli Güney Kore hedeflerine yönelik mızrak akhis avcısı web siteleri için kritik kaynak kodu da sızıntının bir parçasıydı.
İçeriden veriler, ihlalden sonraki günler içinde monte edilen kimlik avı saldırılarının kapsamlı günlüklerini içerir. Özellikle, Kimsuky’nin “Generator.php” kimlik avı yönetimi arayüzü – güvenilir alanlarda meşru hata sayfalarının arkasında pelerin kimlik hırsızlığına tasarlanmıştır – tamamen maruz kalmıştır.
Güvenlik araştırmacıları, sızıntının ayrıca grubun panolarına ve phish izleme kütüklerine yetkisiz erişim sağlayan sert kodlanmış bir idari çerez içerdiği konusunda uyarıyor.
Sunucu tarafı araçlarına ek olarak, Kim’in iş istasyonu, VPS kök kimlik bilgilerinden Güney Kore Hükümeti Halk Anahtar Altyapısı (GPKI) için çalınan sertifikalara kadar bir dizi şifre verdi.
Düzinelerce hükümet yetkilisine bağlı hasat edilmiş özel tuşların yanında kaba GPKI anahtar şifreleri için özel bir Java programı bulundu.
Sızıntı ayrıca Kimuky’nin operasyonel röle kutularını-ağırlıklı olarak Çin ve Hong Kong’da bulunan VPN benzeri vekiller-ve webcloud-notice.com gibi yeni edinilen alanların kayıtlarını belgeliyor.
İhlal, siber zeka uzmanları arasında bir çığlık attı. Bir tehdit avı uzmanı, “Bu anıtsal bir zeka düşüşünü temsil ediyor” dedi.
“Şimdi Kimuky’nin metodolojileri, kod tabanı ve hatta zaman bölgesi alışkanlıkları konusunda doğrudan görünürlüğümüz var-gizli bir devlet oyuncunun oyun kitabına nadir bir bakış.”
Kuzey Kore henüz resmen cevap vermedi. Tarihsel olarak, Pyongyang ne Kimsuky için sorumluluk iddia etti ne de hackleme operasyonlarını açıkça kabul etti.
Bununla birlikte, bu kök neden başarısızlığı, gizli siber birimlerde artan bir içeriden gelen risk eğilimini yansıtıyor ve ulus-devlet aktörlerinin karşılaştığı operasyonel zorlukların altını çiziyor.
Endüstri gözlemcileri, sızdırılan implantların ve arka kapıların hızlı tersine mühendisliğini öngörerek savunucuların algılama imzaları ve hafifletme stratejileri geliştirmelerini sağlıyor.
Güney Koreli ajansların, iç ağları sertleştirmeyi ve gelecekteki mızrak aktı suçlarını önlemeyi amaçlayan verilerle birlikte taramaya başladığı bildiriliyor.
Siber güvenlik topluluğu ihlalin tam kapsamını sindirdiğinden, bir sonuç açıktır: en gizli, devlet destekli siber kampanyalar bile içeriden uzlaşmaya karşı savunmasızdır ve Kimuky’nin maruz kalma anı, hükümetlerin dijital arsenallerini siber savaşın tırmanma döneminde nasıl koruduğunu yeniden tanımlayabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!