En juin 2025, la communauté de la cybersécurité a été secouée. Un membre du groupe de hackers nord-coréen notoire Kimsuky APT est devenu la victime d'une massive violation de données, révélant des centaines de gigaoctets de fichiers internes sensibles, d'outils et de détails opérationnels.
Selon les experts en sécurité de Slow Mist, les données divulguées comprenaient des historiques de navigation, des journaux détaillés de campagnes de phishing, des manuels pour des portes dérobées personnalisées et des systèmes d'attaque tels que la porte dérobée du noyau TomCat, des balises Cobalt Strike modifiées, l'exploit Ivanti RootRot, et des logiciels malveillants Android comme Toybox.
Deux systèmes compromis et le hacker “KIM”
La violation était liée à deux systèmes compromis opérés par un individu connu sous le nom de “KIM” – l'un était une station de travail de développeur Linux (Deepin 20.9), l'autre un serveur VPS accessible au public.
Le système Linux a probablement été utilisé pour le développement de logiciels malveillants, tandis que le VPS hébergeait des matériaux de phishing, de faux portails de connexion, et une infrastructure de commande et de contrôle (C2).
La fuite a été réalisée par des hackers s'identifiant comme “Saber” et “cyb0rg”, qui ont affirmé avoir volé et publié le contenu des deux systèmes. Bien que certaines preuves lient “KIM” à l'infrastructure Kimsuky connue, des indicateurs linguistiques et techniques suggèrent également une possible connexion chinoise, laissant l'origine réelle incertaine.
Une longue histoire d'espionnage cybernétique
Kimsuky est actif depuis au moins 2012 et est lié au Bureau Général de Reconnaissance, l'agence de renseignement principale de la Corée du Nord. Il s'est longtemps spécialisé dans l'espionnage cybernétique ciblant les gouvernements, les groupes de réflexion, les entrepreneurs en défense et le monde académique.
En 2025, ses campagnes – telles que DEEP#DRIVE – reposaient sur des chaînes d'attaque multi-étapes. Elles commençaient généralement par des archives ZIP contenant des fichiers de raccourci LNK déguisés en documents, qui, une fois ouverts, exécutaient des commandes PowerShell pour télécharger des charges utiles malveillantes depuis des services cloud comme Dropbox, utilisant des documents leurres pour paraître légitimes.
Techniques et outils avancés
Au printemps 2025, Kimsuky a déployé un mélange de VBScript et de PowerShell caché dans des archives ZIP pour :
Journaliser les frappes
Voler des données du presse-papiers
Récupérer les clés de portefeuille de cryptomonnaie depuis les navigateurs (Chrome, Edge, Firefox, Naver Whale)
Les attaquants ont également associé des fichiers LNK malveillants à des VBScripts qui exécutaient mshta.exe pour charger des logiciels malveillants basés sur DLL directement en mémoire. Ils ont utilisé des modules RDP Wrapper personnalisés et des logiciels malveillants proxy pour permettre un accès à distance furtif.
Des programmes comme forceCopy ont extrait des informations d'identification à partir des fichiers de configuration du navigateur sans déclencher d'alertes d'accès standard aux mots de passe.
Exploitation des plates-formes de confiance
Kimsuky a abusé des plates-formes cloud et d'hébergement de code populaires. Lors d'une campagne de spear phishing en juin 2025 ciblant la Corée du Sud, des dépôts GitHub privés ont été utilisés pour stocker des logiciels malveillants et des données volées.
En livrant des logiciels malveillants et en exfiltrant des fichiers via Dropbox et GitHub, le groupe a pu cacher son activité au sein du trafic réseau légitime.
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
Restez un pas en avant – suivez notre profil et restez informé sur tout ce qui est important dans le monde des cryptomonnaies !
Avis :
,,Les informations et opinions présentées dans cet article sont destinées uniquement à des fins éducatives et ne doivent pas être considérées comme des conseils d'investissement dans aucune situation. Le contenu de ces pages ne doit pas être considéré comme un conseil financier, d'investissement ou d'une autre forme. Nous avertissons que l'investissement dans les cryptomonnaies peut être risqué et peut entraîner des pertes financières.