Pada bulan Juni 2025, komunitas keamanan siber terguncang. Seorang anggota dari kelompok peretasan Korea Utara yang terkenal Kimsuky APT menjadi korban pelanggaran data besar-besaran, mengungkap ratusan gigabyte berkas internal sensitif, alat, dan rincian operasional.
Menurut para ahli keamanan dari Slow Mist, data yang bocor mencakup riwayat peramban, log kampanye phishing yang terperinci, manual untuk backdoor dan sistem serangan kustom seperti backdoor kernel TomCat, beacon Cobalt Strike yang dimodifikasi, eksploit Ivanti RootRot, dan malware Android seperti Toybox.
Dua Sistem yang Terkompromi dan Hacker "KIM"
Pelanggaran tersebut terkait dengan dua sistem yang terkompromi yang dioperasikan oleh seorang individu yang dikenal sebagai "KIM" – satu adalah workstation pengembang Linux (Deepin 20.9), yang lainnya adalah server VPS yang dapat diakses publik.
Sistem Linux kemungkinan digunakan untuk pengembangan malware, sementara VPS menghosting materi phishing, portal login palsu, dan infrastruktur perintah dan kendali (C2).
Kebocoran tersebut dilakukan oleh peretas yang mengidentifikasi diri mereka sebagai "Saber" dan "cyb0rg", yang mengklaim telah mencuri dan menerbitkan konten dari kedua sistem. Meskipun beberapa bukti mengaitkan "KIM" dengan infrastruktur Kimsuky yang dikenal, indikator linguistik dan teknis juga menunjukkan kemungkinan adanya koneksi dengan China, meninggalkan asal usul yang sebenarnya tidak pasti.
Sejarah Panjang Spionase Siber
Kimsuky telah aktif sejak setidaknya 2012 dan terhubung dengan Biro Umum Intelijen, agensi intelijen utama Korea Utara. Mereka telah lama mengkhususkan diri dalam spionase siber yang menargetkan pemerintah, lembaga pemikir, kontraktor pertahanan, dan akademisi.
Pada tahun 2025, kampanye-kampanyenya – seperti DEEP#DRIVE – bergantung pada rantai serangan multi-tahap. Mereka biasanya dimulai dengan arsip ZIP yang berisi file pintasan LNK yang disamarkan sebagai dokumen, yang, ketika dibuka, mengeksekusi perintah PowerShell untuk mengunduh muatan berbahaya dari layanan cloud seperti Dropbox, menggunakan dokumen umpan untuk terlihat sah.
Teknik dan Alat Lanjutan
Pada musim semi 2025, Kimsuky menerapkan campuran VBScript dan PowerShell yang disembunyikan di dalam arsip ZIP untuk:
Mencatat penekanan tombolMencuri data clipboardMemanen kunci dompet cryptocurrency dari browser (Chrome, Edge, Firefox, Naver Whale)
Penyerang juga memasangkan file LNK berbahaya dengan VBScripts yang mengeksekusi mshta.exe untuk memuat malware berbasis DLL langsung ke dalam memori. Mereka menggunakan modul RDP Wrapper kustom dan malware proxy untuk memungkinkan akses jarak jauh secara diam-diam.
Program seperti forceCopy mengekstrak kredensial dari file konfigurasi browser tanpa memicu peringatan akses kata sandi standar.
Mengeksploitasi Platform Terpercaya
Kimsuky menyalahgunakan platform cloud dan hosting kode yang populer. Dalam kampanye spear phishing pada Juni 2025 yang menargetkan Korea Selatan, repositori GitHub pribadi digunakan untuk menyimpan malware dan data yang dicuri.
Dengan menyebarkan malware dan mengekstrak file melalui Dropbox dan GitHub, kelompok tersebut dapat menyembunyikan aktivitasnya dalam lalu lintas jaringan yang sah.
Tetap satu langkah lebih maju – ikuti profil kami dan tetap mendapatkan informasi tentang segala hal penting di dunia cryptocurrency!
Pemberitahuan:
,,Informasi dan pandangan yang disajikan dalam artikel ini hanya dimaksudkan untuk tujuan pendidikan dan tidak boleh dianggap sebagai saran investasi dalam situasi apapun. Konten halaman ini tidak boleh dianggap sebagai saran keuangan, investasi, atau bentuk saran lainnya. Kami memperingatkan bahwa berinvestasi dalam cryptocurrency dapat berisiko dan dapat mengakibatkan kerugian finansial.“
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kimsuky Korea Utara Terungkap oleh Kebocoran Data Besar
Pada bulan Juni 2025, komunitas keamanan siber terguncang. Seorang anggota dari kelompok peretasan Korea Utara yang terkenal Kimsuky APT menjadi korban pelanggaran data besar-besaran, mengungkap ratusan gigabyte berkas internal sensitif, alat, dan rincian operasional. Menurut para ahli keamanan dari Slow Mist, data yang bocor mencakup riwayat peramban, log kampanye phishing yang terperinci, manual untuk backdoor dan sistem serangan kustom seperti backdoor kernel TomCat, beacon Cobalt Strike yang dimodifikasi, eksploit Ivanti RootRot, dan malware Android seperti Toybox.
Dua Sistem yang Terkompromi dan Hacker "KIM" Pelanggaran tersebut terkait dengan dua sistem yang terkompromi yang dioperasikan oleh seorang individu yang dikenal sebagai "KIM" – satu adalah workstation pengembang Linux (Deepin 20.9), yang lainnya adalah server VPS yang dapat diakses publik.
Sistem Linux kemungkinan digunakan untuk pengembangan malware, sementara VPS menghosting materi phishing, portal login palsu, dan infrastruktur perintah dan kendali (C2). Kebocoran tersebut dilakukan oleh peretas yang mengidentifikasi diri mereka sebagai "Saber" dan "cyb0rg", yang mengklaim telah mencuri dan menerbitkan konten dari kedua sistem. Meskipun beberapa bukti mengaitkan "KIM" dengan infrastruktur Kimsuky yang dikenal, indikator linguistik dan teknis juga menunjukkan kemungkinan adanya koneksi dengan China, meninggalkan asal usul yang sebenarnya tidak pasti.
Sejarah Panjang Spionase Siber Kimsuky telah aktif sejak setidaknya 2012 dan terhubung dengan Biro Umum Intelijen, agensi intelijen utama Korea Utara. Mereka telah lama mengkhususkan diri dalam spionase siber yang menargetkan pemerintah, lembaga pemikir, kontraktor pertahanan, dan akademisi. Pada tahun 2025, kampanye-kampanyenya – seperti DEEP#DRIVE – bergantung pada rantai serangan multi-tahap. Mereka biasanya dimulai dengan arsip ZIP yang berisi file pintasan LNK yang disamarkan sebagai dokumen, yang, ketika dibuka, mengeksekusi perintah PowerShell untuk mengunduh muatan berbahaya dari layanan cloud seperti Dropbox, menggunakan dokumen umpan untuk terlihat sah.
Teknik dan Alat Lanjutan Pada musim semi 2025, Kimsuky menerapkan campuran VBScript dan PowerShell yang disembunyikan di dalam arsip ZIP untuk: Mencatat penekanan tombolMencuri data clipboardMemanen kunci dompet cryptocurrency dari browser (Chrome, Edge, Firefox, Naver Whale) Penyerang juga memasangkan file LNK berbahaya dengan VBScripts yang mengeksekusi mshta.exe untuk memuat malware berbasis DLL langsung ke dalam memori. Mereka menggunakan modul RDP Wrapper kustom dan malware proxy untuk memungkinkan akses jarak jauh secara diam-diam. Program seperti forceCopy mengekstrak kredensial dari file konfigurasi browser tanpa memicu peringatan akses kata sandi standar.
Mengeksploitasi Platform Terpercaya Kimsuky menyalahgunakan platform cloud dan hosting kode yang populer. Dalam kampanye spear phishing pada Juni 2025 yang menargetkan Korea Selatan, repositori GitHub pribadi digunakan untuk menyimpan malware dan data yang dicuri.
Dengan menyebarkan malware dan mengekstrak file melalui Dropbox dan GitHub, kelompok tersebut dapat menyembunyikan aktivitasnya dalam lalu lintas jaringan yang sah.
#NorthKoreaHackers , #serangan siber , #CyberSecurity , #penipuan phishing , #beritadunia
Tetap satu langkah lebih maju – ikuti profil kami dan tetap mendapatkan informasi tentang segala hal penting di dunia cryptocurrency! Pemberitahuan: ,,Informasi dan pandangan yang disajikan dalam artikel ini hanya dimaksudkan untuk tujuan pendidikan dan tidak boleh dianggap sebagai saran investasi dalam situasi apapun. Konten halaman ini tidak boleh dianggap sebagai saran keuangan, investasi, atau bentuk saran lainnya. Kami memperingatkan bahwa berinvestasi dalam cryptocurrency dapat berisiko dan dapat mengakibatkan kerugian finansial.“