في يونيو 2025، اهتز مجتمع الأمن السيبراني. أصبح أحد أعضاء مجموعة القرصنة الشهيرة في كوريا الشمالية كيمسوكاي APT ضحية لانتهاك بيانات هائل، كاشفًا عن مئات الجيجابايت من الملفات الداخلية الحساسة، والأدوات، والتفاصيل التشغيلية.
وفقًا لخبراء الأمن من Slow Mist، تضمنت البيانات المسربة سجلات تصفح، وسجلات تفصيلية لحملات التصيد، وكتيبات لأبواب خلفية مخصصة وأنظمة هجوم مثل باب الكيرنل TomCat، وإشارات Cobalt Strike المعدلة، واستغلال Ivanti RootRot، وبرمجيات خبيثة على أندرويد مثل Toybox.
نظامان مخترقان وهاكر "كيم"
تم ربط الاختراق بنظامين مخترقين تديرهما فرد يُعرف باسم "KIM" - كان أحدهما محطة عمل مطور Linux (Deepin 20.9)، والآخر خادم VPS متاح للجمهور.
من المحتمل أن يكون نظام Linux قد استخدم في تطوير البرمجيات الضارة، بينما استضاف VPS مواد التصيد الاحتيالي، وبوابات تسجيل الدخول المزيفة، وبنية تحتية للتحكم والقيادة (C2).
تم تنفيذ التسريب من قبل قراصنة يعرفون عن أنفسهم باسم "Saber" و "cyb0rg"، الذين زعموا أنهم سرقوا ونشروا محتويات كلا النظامين. بينما تشير بعض الأدلة إلى ارتباط "KIM" ببنية تحتية معروفة لـ Kimsuky، تشير المؤشرات اللغوية والتقنية أيضًا إلى احتمال وجود صلة صينية، مما يترك الأصل الحقيقي غير مؤكد.
تاريخ طويل من التجسس الإلكتروني
كانت كيمسوكِي نشطة منذ عام 2012 على الأقل وتُربط بمكتب الاستطلاع العام، الوكالة الرئيسية للاستخبارات في كوريا الشمالية. لقد تخصصت منذ فترة طويلة في التجسس السيبراني الذي يستهدف الحكومات، ومراكز الفكر، ومقاولي الدفاع، والأوساط الأكاديمية.
في عام 2025، اعتمدت حملاتها - مثل DEEP#DRIVE - على سلاسل الهجمات متعددة المراحل. وعادة ما كانت تبدأ بأرشيفات ZIP تحتوي على ملفات اختصار LNK مت disguised كوثائق، والتي عند فتحها، نفذت أوامر PowerShell لتنزيل أحمال خبيثة من خدمات السحابة مثل Dropbox، باستخدام وثائق تمويه لتبدو شرعية.
تقنيات وأدوات متقدمة
في ربيع عام 2025، نشرت كيمسوكي مزيجًا من VBScript و PowerShell مخفيًا داخل أرشيفات ZIP لـ:
تسجيل ضغطات المفاتيح سرقة بيانات الحافظة حصاد مفاتيح محفظة العملات الرقمية من المتصفحات (Chrome و Edge و Firefox و Naver Whale)
قام المهاجمون أيضًا بربط ملفات LNK الخبيثة مع VBScripts التي نفذت mshta.exe لتحميل برامج ضارة قائمة على DLL مباشرة في الذاكرة. استخدموا وحدات RDP Wrapper مخصصة وبرامج ضارة للتوجيه لتمكين الوصول عن بُعد بشكل سري.
برامج مثل forceCopy تستخرج بيانات الاعتماد من ملفات تكوين المتصفح دون تفعيل تنبيهات الوصول القياسية لكلمات المرور.
استغلال المنصات الموثوقة
استغلت كيمسوكي منصات السحابة الشائعة واستضافة الأكواد. في حملة تصيد موجهة في يونيو 2025 تستهدف كوريا الجنوبية، تم استخدام مستودعات غيت هاب الخاصة لتخزين البرمجيات الضارة والبيانات المسروقة.
من خلال توصيل البرمجيات الضارة واستخراج الملفات عبر Dropbox و GitHub، تمكنت المجموعة من إخفاء نشاطها داخل حركة المرور الشبكية الشرعية.
ابقَ خطوةً واحدةً للأمام – تابع ملفنا الشخصي وابقَ على اطلاع بكل ما هو مهم في عالم العملات الرقمية!
إشعار:
,,المعلومات والآراء المعروضة في هذه المقالة تهدف فقط لأغراض تعليمية ولا ينبغي اعتبارها نصيحة استثمارية في أي حالة. يجب عدم اعتبار محتوى هذه الصفحات نصيحة مالية أو استثمارية أو أي شكل آخر من النصائح. نحذر من أن الاستثمار في العملات المشفرة يمكن أن يكون محفوفًا بالمخاطر وقد يؤدي إلى خسائر مالية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسريب بيانات هائل يكشف عن كيمسوك الكوري الشمالي
في يونيو 2025، اهتز مجتمع الأمن السيبراني. أصبح أحد أعضاء مجموعة القرصنة الشهيرة في كوريا الشمالية كيمسوكاي APT ضحية لانتهاك بيانات هائل، كاشفًا عن مئات الجيجابايت من الملفات الداخلية الحساسة، والأدوات، والتفاصيل التشغيلية. وفقًا لخبراء الأمن من Slow Mist، تضمنت البيانات المسربة سجلات تصفح، وسجلات تفصيلية لحملات التصيد، وكتيبات لأبواب خلفية مخصصة وأنظمة هجوم مثل باب الكيرنل TomCat، وإشارات Cobalt Strike المعدلة، واستغلال Ivanti RootRot، وبرمجيات خبيثة على أندرويد مثل Toybox.
نظامان مخترقان وهاكر "كيم" تم ربط الاختراق بنظامين مخترقين تديرهما فرد يُعرف باسم "KIM" - كان أحدهما محطة عمل مطور Linux (Deepin 20.9)، والآخر خادم VPS متاح للجمهور.
من المحتمل أن يكون نظام Linux قد استخدم في تطوير البرمجيات الضارة، بينما استضاف VPS مواد التصيد الاحتيالي، وبوابات تسجيل الدخول المزيفة، وبنية تحتية للتحكم والقيادة (C2). تم تنفيذ التسريب من قبل قراصنة يعرفون عن أنفسهم باسم "Saber" و "cyb0rg"، الذين زعموا أنهم سرقوا ونشروا محتويات كلا النظامين. بينما تشير بعض الأدلة إلى ارتباط "KIM" ببنية تحتية معروفة لـ Kimsuky، تشير المؤشرات اللغوية والتقنية أيضًا إلى احتمال وجود صلة صينية، مما يترك الأصل الحقيقي غير مؤكد.
تاريخ طويل من التجسس الإلكتروني كانت كيمسوكِي نشطة منذ عام 2012 على الأقل وتُربط بمكتب الاستطلاع العام، الوكالة الرئيسية للاستخبارات في كوريا الشمالية. لقد تخصصت منذ فترة طويلة في التجسس السيبراني الذي يستهدف الحكومات، ومراكز الفكر، ومقاولي الدفاع، والأوساط الأكاديمية. في عام 2025، اعتمدت حملاتها - مثل DEEP#DRIVE - على سلاسل الهجمات متعددة المراحل. وعادة ما كانت تبدأ بأرشيفات ZIP تحتوي على ملفات اختصار LNK مت disguised كوثائق، والتي عند فتحها، نفذت أوامر PowerShell لتنزيل أحمال خبيثة من خدمات السحابة مثل Dropbox، باستخدام وثائق تمويه لتبدو شرعية.
تقنيات وأدوات متقدمة في ربيع عام 2025، نشرت كيمسوكي مزيجًا من VBScript و PowerShell مخفيًا داخل أرشيفات ZIP لـ: تسجيل ضغطات المفاتيح سرقة بيانات الحافظة حصاد مفاتيح محفظة العملات الرقمية من المتصفحات (Chrome و Edge و Firefox و Naver Whale) قام المهاجمون أيضًا بربط ملفات LNK الخبيثة مع VBScripts التي نفذت mshta.exe لتحميل برامج ضارة قائمة على DLL مباشرة في الذاكرة. استخدموا وحدات RDP Wrapper مخصصة وبرامج ضارة للتوجيه لتمكين الوصول عن بُعد بشكل سري. برامج مثل forceCopy تستخرج بيانات الاعتماد من ملفات تكوين المتصفح دون تفعيل تنبيهات الوصول القياسية لكلمات المرور.
استغلال المنصات الموثوقة استغلت كيمسوكي منصات السحابة الشائعة واستضافة الأكواد. في حملة تصيد موجهة في يونيو 2025 تستهدف كوريا الجنوبية، تم استخدام مستودعات غيت هاب الخاصة لتخزين البرمجيات الضارة والبيانات المسروقة.
من خلال توصيل البرمجيات الضارة واستخراج الملفات عبر Dropbox و GitHub، تمكنت المجموعة من إخفاء نشاطها داخل حركة المرور الشبكية الشرعية.
#NorthKoreaHackers , #الجرائم الإلكترونية ، #CyberSecurity , #خداع التصيد ، #أخبار_العالم
ابقَ خطوةً واحدةً للأمام – تابع ملفنا الشخصي وابقَ على اطلاع بكل ما هو مهم في عالم العملات الرقمية! إشعار: ,,المعلومات والآراء المعروضة في هذه المقالة تهدف فقط لأغراض تعليمية ولا ينبغي اعتبارها نصيحة استثمارية في أي حالة. يجب عدم اعتبار محتوى هذه الصفحات نصيحة مالية أو استثمارية أو أي شكل آخر من النصائح. نحذر من أن الاستثمار في العملات المشفرة يمكن أن يكون محفوفًا بالمخاطر وقد يؤدي إلى خسائر مالية.