Fuite « Kim » : un dump révèle le playbook de vol d’identifiants de Kimsuky (APT43) et une infrastructure hybride DPRK–PRC
Source: DomainTools (Investigations). Dans une analyse en trois volets, DomainTools détaille une fuite (« Kim dump ») attribuée à un opérateur aligné sur la Corée du Nord, offrant une vue opérationnelle inédite sur les tactiques, outils et infrastructures de Kimsuky (APT43), avec des indices d’un fonctionnement hybride utilisant des ressources chinoises. • Découvertes clés: l’acteur compile manuellement du code malveillant en NASM (chargers, shellcode Windows), exécute de l’OCR sur des PDF techniques coréens liés à la GPKI et aux VPN, et maintient un accès persistant via un rootkit Linux (syscall hooking/khook) caché sous des chemins trompeurs. Les journaux PAM/SSH montrent des rotations de mots de passe et l’usage de comptes administrateurs (oracle, svradmin, app_adm01), tandis qu’une infrastructure de phishing AiTM imite des portails gouvernementaux KR. Des artefacts réseau révèlent en parallèle une reconnaissance ciblée de Taïwan (gouvernement, académique, dev). ...