En juin 2025, la communauté de la cybersécurité a été bouleversée. Un membre du groupe de hackers nord-coréen notoire Kimsuky APT est devenu la victime d'une massive violation de données, révélant des centaines de gigaoctets de fichiers internes sensibles, d'outils et de détails opérationnels.
Selon des experts en sécurité de Slow Mist, les données divulguées comprenaient des historiques de navigation, des journaux détaillés de campagnes de phishing, des manuels pour des portes dérobées personnalisées et des systèmes d'attaque tels que la porte dérobée TomCat, des balises Cobalt Strike modifiées, l'exploit Ivanti RootRot et des logiciels malveillants Android comme Toybox.
Deux systèmes compromis et hacker "KIM"
La violation était liée à deux systèmes compromis opérés par un individu connu sous le nom de "KIM" – l'un était une station de travail de développeur Linux (Deepin 20.9), l'autre un serveur VPS accessible au public.
Le système Linux a probablement été utilisé pour le développement de logiciels malveillants, tandis que le VPS hébergeait des matériaux de phishing, des portails de connexion frauduleux et une infrastructure de commande et de contrôle (C2).
La fuite a été réalisée par des hackers s'identifiant comme « Saber » et « cyb0rg », qui ont affirmé avoir volé et publié le contenu des deux systèmes. Bien que certaines preuves lient « KIM » à l'infrastructure connue de Kimsuky, des indicateurs linguistiques et techniques suggèrent également une possible connexion chinoise, laissant l'origine véritable incertaine.
Une longue histoire d'espionnage cybernétique
Kimsuky est actif depuis au moins 2012 et est lié au Bureau Général de Reconnaissance, la principale agence de renseignement de la Corée du Nord. Il s'est longtemps spécialisé dans l'espionnage cybernétique ciblant les gouvernements, les groupes de réflexion, les entrepreneurs en défense et le milieu universitaire.
En 2025, ses campagnes – comme DEEP#DRIVE – reposaient sur des chaînes d'attaques multi-niveaux. Elles commençaient généralement par des archives ZIP contenant des fichiers de raccourci LNK déguisés en documents, qui, une fois ouverts, exécutaient des commandes PowerShell pour télécharger des charges utiles malveillantes depuis des services cloud comme Dropbox, en utilisant des documents de leurre pour paraître légitimes.
Techniques et outils avancés
Au printemps 2025, Kimsuky a déployé un mélange de VBScript et de PowerShell caché à l'intérieur d'archives ZIP pour :
Enregistrer les frappesVoler les données du presse-papiersRécupérer les clés de portefeuille de cryptomonnaie depuis les navigateurs (Chrome, Edge, Firefox, Naver Whale)
Les attaquants ont également associé des fichiers LNK malveillants à des scripts VBS qui exécutaient mshta.exe pour charger des logiciels malveillants basés sur des DLL directement en mémoire. Ils ont utilisé des modules personnalisés RDP Wrapper et des malwares proxy pour permettre un accès à distance furtif.
Des programmes comme forceCopy ont extrait des identifiants à partir de fichiers de configuration du navigateur sans déclencher d'alertes d'accès aux mots de passe standard.
Exploitation des plateformes de confiance
Kimsuky a abusé des plateformes populaires de cloud et d'hébergement de code. Dans une campagne de spear phishing de juin 2025 visant la Corée du Sud, des dépôts GitHub privés ont été utilisés pour stocker des malwares et des données volées.
En livrant des logiciels malveillants et en exfiltrant des fichiers via Dropbox et GitHub, le groupe a pu dissimuler son activité au sein d'un trafic réseau légitime.
Restez un pas en avant – suivez notre profil et restez informé de tout ce qui est important dans le monde des cryptom currencies !
Avis :
,,Les informations et les opinions présentées dans cet article sont destinées uniquement à des fins éducatives et ne doivent pas être considérées comme des conseils en investissement dans aucune situation. Le contenu de ces pages ne doit pas être considéré comme des conseils financiers, d'investissement ou de toute autre forme de conseil. Nous mettons en garde que l'investissement dans les cryptomonnaies peut être risqué et peut entraîner des pertes financières.“
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Kimsuky nord-coréen exposé par une fuite massive de données
En juin 2025, la communauté de la cybersécurité a été bouleversée. Un membre du groupe de hackers nord-coréen notoire Kimsuky APT est devenu la victime d'une massive violation de données, révélant des centaines de gigaoctets de fichiers internes sensibles, d'outils et de détails opérationnels. Selon des experts en sécurité de Slow Mist, les données divulguées comprenaient des historiques de navigation, des journaux détaillés de campagnes de phishing, des manuels pour des portes dérobées personnalisées et des systèmes d'attaque tels que la porte dérobée TomCat, des balises Cobalt Strike modifiées, l'exploit Ivanti RootRot et des logiciels malveillants Android comme Toybox.
Deux systèmes compromis et hacker "KIM" La violation était liée à deux systèmes compromis opérés par un individu connu sous le nom de "KIM" – l'un était une station de travail de développeur Linux (Deepin 20.9), l'autre un serveur VPS accessible au public.
Le système Linux a probablement été utilisé pour le développement de logiciels malveillants, tandis que le VPS hébergeait des matériaux de phishing, des portails de connexion frauduleux et une infrastructure de commande et de contrôle (C2). La fuite a été réalisée par des hackers s'identifiant comme « Saber » et « cyb0rg », qui ont affirmé avoir volé et publié le contenu des deux systèmes. Bien que certaines preuves lient « KIM » à l'infrastructure connue de Kimsuky, des indicateurs linguistiques et techniques suggèrent également une possible connexion chinoise, laissant l'origine véritable incertaine.
Une longue histoire d'espionnage cybernétique Kimsuky est actif depuis au moins 2012 et est lié au Bureau Général de Reconnaissance, la principale agence de renseignement de la Corée du Nord. Il s'est longtemps spécialisé dans l'espionnage cybernétique ciblant les gouvernements, les groupes de réflexion, les entrepreneurs en défense et le milieu universitaire. En 2025, ses campagnes – comme DEEP#DRIVE – reposaient sur des chaînes d'attaques multi-niveaux. Elles commençaient généralement par des archives ZIP contenant des fichiers de raccourci LNK déguisés en documents, qui, une fois ouverts, exécutaient des commandes PowerShell pour télécharger des charges utiles malveillantes depuis des services cloud comme Dropbox, en utilisant des documents de leurre pour paraître légitimes.
Techniques et outils avancés Au printemps 2025, Kimsuky a déployé un mélange de VBScript et de PowerShell caché à l'intérieur d'archives ZIP pour : Enregistrer les frappesVoler les données du presse-papiersRécupérer les clés de portefeuille de cryptomonnaie depuis les navigateurs (Chrome, Edge, Firefox, Naver Whale) Les attaquants ont également associé des fichiers LNK malveillants à des scripts VBS qui exécutaient mshta.exe pour charger des logiciels malveillants basés sur des DLL directement en mémoire. Ils ont utilisé des modules personnalisés RDP Wrapper et des malwares proxy pour permettre un accès à distance furtif. Des programmes comme forceCopy ont extrait des identifiants à partir de fichiers de configuration du navigateur sans déclencher d'alertes d'accès aux mots de passe standard.
Exploitation des plateformes de confiance Kimsuky a abusé des plateformes populaires de cloud et d'hébergement de code. Dans une campagne de spear phishing de juin 2025 visant la Corée du Sud, des dépôts GitHub privés ont été utilisés pour stocker des malwares et des données volées.
En livrant des logiciels malveillants et en exfiltrant des fichiers via Dropbox et GitHub, le groupe a pu dissimuler son activité au sein d'un trafic réseau légitime.
#NorthKoreaHackers , #cyberattaques , #CyberSecurity , #escroqueriesphishing , #actualitésmondiales
Restez un pas en avant – suivez notre profil et restez informé de tout ce qui est important dans le monde des cryptom currencies ! Avis : ,,Les informations et les opinions présentées dans cet article sont destinées uniquement à des fins éducatives et ne doivent pas être considérées comme des conseils en investissement dans aucune situation. Le contenu de ces pages ne doit pas être considéré comme des conseils financiers, d'investissement ou de toute autre forme de conseil. Nous mettons en garde que l'investissement dans les cryptomonnaies peut être risqué et peut entraîner des pertes financières.“