Source: DomainTools (Investigations). Dans une analyse en trois volets, DomainTools détaille une fuite (« Kim dump ») attribuée à un opérateur aligné sur la Corée du Nord, offrant une vue opérationnelle inédite sur les tactiques, outils et infrastructures de Kimsuky (APT43), avec des indices d’un fonctionnement hybride utilisant des ressources chinoises.

• Découvertes clés: l’acteur compile manuellement du code malveillant en NASM (chargers, shellcode Windows), exécute de l’OCR sur des PDF techniques coréens liés à la GPKI et aux VPN, et maintient un accès persistant via un rootkit Linux (syscall hooking/khook) caché sous des chemins trompeurs. Les journaux PAM/SSH montrent des rotations de mots de passe et l’usage de comptes administrateurs (oracle, svradmin, app_adm01), tandis qu’une infrastructure de phishing AiTM imite des portails gouvernementaux KR. Des artefacts réseau révèlent en parallèle une reconnaissance ciblée de Taïwan (gouvernement, académique, dev).

• Focalisation « credentials »: le dump met en évidence l’exfiltration et l’usage de certificats GPKI sud-coréens (ex. fichiers .key comme « 136_001_env.key ») accompagnés de mots de passe en clair, permettant des usurpations d’identité à haut impact. Les journaux marqués 변경완료 (« changement terminé ») confirment la prise de contrôle d’accès privilégié et la persistance.

• Implant noyau: l’implant vmmisc.ko (modules: vmmisc/VMmisc.ko) assure hooking de syscalls, proxy SOCKS5, PTY backdoor, sessions chiffrées (mot de passe d’activation: « testtest »), avec déploiement via insmod et client dédié. Les chemins /usr/lib64/tracker-fs/ et .cache/vmware/… miment des emplacements légitimes pour éviter la détection. 🕵️

• Modèle d’attribution: les indices linguistiques et techniques coréens (OCR, GPKI, TZ UTC+9) soutiennent une origine DPRK/Kimsuky, tandis que l’usage d’infrastructures et plateformes PRC (gitee[.]com, Baidu, Zhihu), des IP d’origine chinoise pour brute force, et un intérêt marqué pour Taïwan suggèrent une empreinte hybride DPRK opérant depuis/avec la Chine.

IoCs (extraits):

  • Domaines de phishing: nid-security[.]com, html-load[.]com, wuzak[.]com, koala-app[.]com, webcloud-notice[.]com
  • Portails usurpés: dcc.mil[.]kr, spo.go[.]kr, mofa.go[.]kr; GPKI ciblée: gva.gpki.go[.]kr, ivs.gpki.go[.]kr
  • Cibles Taïwan: tw.systexcloud[.]com, caa.org[.]tw/.git/, mlogin.mdfapps[.]com
  • IPs (Taïwan ciblés): 163.29.3[.]119, 118.163.30[.]45, 59.125.159[.]81
  • IPs (brute force/infrastructure): 23.95.213[.]210, 218.92.0[.]210, 122.114.233[.]77
  • Email burner: jeder97271@wuzak[.]com
  • Artefacts/chemins: vmmisc.ko, /usr/lib64/tracker-fs/vmmisc.ko, .cache/vmware/drag_and_drop/VMmisc.ko; passphrase: « testtest »; cert .key « 136_001_env.key »

TTPs (MITRE ATT&CK, sélection):

  • Initial access: T1566.002 (Phishing, AiTM) 🪤
  • Execution/Defense evasion: NASM shellcode, API hashing, T1059.003/.005; rootkit khook (T1176), masquage de fichiers/processus
  • Credential access/Session hijacking: T1555, T1557.003; vol de certificats GPKI et mots de passe en clair
  • Discovery/Network: T1590, T1592; extraction proxyres (PAC), crawl .git/
  • Exfiltration/C2: T1041, T1567.002; SOCKS5, TLS proxies

Cible et portée: priorité à la Corée du Sud (GPKI, comptes admins, portails gouvernementaux) et Taïwan (infrastructures gouvernementales/chercheurs, dépôts .git/, portails cloud/dev). L’article est une analyse de menace/CTI visant à documenter les techniques, l’infrastructure et l’attribution hybride révélées par la fuite « Kim ».

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 (Phishing, AiTM)’, ‘T1059.003 (Command and Scripting Interpreter: Windows Command Shell)’, ‘T1059.005 (Command and Scripting Interpreter: Visual Basic)’, ‘T1176 (Browser Extensions)’, ‘T1555 (Credentials from Password Stores)’, ‘T1557.003 (Man-in-the-Middle: Web Proxy)’, ‘T1590 (Gather Victim Network Information)’, ‘T1592 (Gather Victim Host Information)’, ‘T1041 (Exfiltration Over C2 Channel)’, ‘T1567.002 (Exfiltration Over Web Service: Exfiltration to Cloud Storage)’]

IOC

{‘domains’: [’nid-security[.]com’, ‘html-load[.]com’, ‘wuzak[.]com’, ‘koala-app[.]com’, ‘webcloud-notice[.]com’, ‘dcc.mil[.]kr’, ‘spo.go[.]kr’, ‘mofa.go[.]kr’, ‘gva.gpki.go[.]kr’, ‘ivs.gpki.go[.]kr’, ’tw.systexcloud[.]com’, ‘caa.org[.]tw/.git/’, ‘mlogin.mdfapps[.]com’], ‘ips’: [‘163.29.3[.]119’, ‘118.163.30[.]45’, ‘59.125.159[.]81’, ‘23.95.213[.]210’, ‘218.92.0[.]210’, ‘122.114.233[.]77’], ’email’: [‘jeder97271@wuzak[.]com’], ‘artefacts’: [‘vmmisc.ko’, ‘/usr/lib64/tracker-fs/vmmisc.ko’, ‘.cache/vmware/drag_and_drop/VMmisc.ko’, “cert .key ‘136_001_env.key’”], ‘passphrase’: ’testtest’}

🔗 Source originale : https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/