Uma enorme violação de dados no início de setembro de 2025, atribuída a um ator cibernético conhecido simplesmente como “Kim”, revelou uma visão sem precedentes do manual operacional de Kimsuky (APT43).
O vazamento, compreendendo arquivos de histórico de terminais, domínios de phishing, fluxos de trabalho da OCR, estagiários compilados e um rootkit de Linux completo, revelou uma campanha centrada na credencial que direcionava os sistemas PKI do governo sul-coreano e as redes acadêmicas de Taiwan.
Os artefatos incluem histórias de bash que mostram desenvolvimento iterativo de código de shell com NASM, juntamente com os comandos OCR usados para extrair configurações de documentos em PDF em língua coreana relacionados às implantações de PKI e VPN.
O escopo da violação destaca uma evolução na técnica, misturando persistência de rootkit da velha escola com sofisticada infraestrutura de phishing adversário no meio.
VM de desktop do adversário (Fonte – Domaintools)
Os analistas da Domaintools identificaram evidências de telemetria de domínio apontando para uma ampla rede de sites maliciosos, imitando portais oficiais coreanos, incluindo nid-security.com e webcloud-notice.com.
Esses sites empregavam proxies de TLS em tempo real para interceptar credenciais, uma mudança marcante da colheita baseada em documentos para a interceptação ativa do AITM.
O despejo continha ainda mais os logs do PAM detalhando as rotações de senha administrativa-tagged 변경완료 (“Alterar completo”)-para contas de alto privilégio, como Oracle, Svradmin e App_ADM01. PlainText GPKI Arquivos como 136 백운규 001_env.Key confirmou o compromisso direto dos ativos criptográficos do governo sul -coreano.
Além da Coréia do Sul, os pesquisadores da Domaintool observaram que o ator conduziu o reconhecimento direcionado do governo e instituições de pesquisa de Taiwan, acessando diretórios de .Git para enumerar repositórios de origem expostos e colher segredos incorporados.
Mapa de conexões de domínio (fonte – Domaintools)
Endereços IP, como 163.29.3.119 e 118.163.30.45, registrados nos backbones do governo de Taiwan, subliberem sondagem deliberada da cadeia de suprimentos.
A presença de endereços de email do queimador vinculados a kits de phishing, juntamente com toras de reconhecimento contra gitee.com e baidu.com, reflete uma pegada híbrida de DPRC -PRC que aproveita a infraestrutura chinesa para encenação e evasão.
Mecanismo de infecção
Um exame mais detalhado do mecanismo de infecção do malware revela um carregador de dois estágios que combina codificado de shell personalizado com estruturas disponíveis ao público.
A carga útil inicial é um stub de código de shell Nasm artesanal compilado com bandeiras como -F Win32, projetado para alocar memória via VirtualAlloc e resolver chamadas de API Win32 por meio de tabelas de importação: –
; start.asm bits 32 Seção Externa VirtualAlloc .Text _start: push 0 push 4096 push 0x3000 push -1 Call (virtualAlloc); A resolução da API de hash e a injeção de carga útil seguem
Depois que a memória é alocada, o carregador descriptografa e remende uma carga útil secundária-geralmente um stager derivado de cobaltsstrike-no processo antes de transferir a execução.
Essa abordagem evita a detecção baseada em assinatura, pois o código de shell é polimórfico e as chamadas da API são ofuscadas por rotinas simples de hash xor.
A persistência é alcançada através de um Linux Rootkit sob medida, vmmisc.ko, que conecta syscalls, como leitura e gets, para ocultar arquivos, diretórios e soquetes de rede.
Após a inserção via insmod /usr/lib64/tracker-fs/vmmisc.ko, o rootkit descompacta um binário incorporado de backdoor de Backdoor incorporado e depois instala um proxy de Socks5 e uma concha reversa baseada em PTY protegida por uma senha (testtest).
Implante Rootkit (fonte – Domaintools)
A técnica de incorporação binária de modo duplo do Rootkit mescla o módulo do kernel e o executável do usuário, deixando apenas o arquivo .ko no disco para impedir a descoberta forense.
Cadeia de ataque (fonte – Domaintools)
Essa cadeia de infecções ressalta uma mistura de montagem manual da ferramenta e uso oportunista de repositórios de código aberto, como Titanldr e Blacklotus, demonstrando a crescente sofisticação de Kimsuky.
As organizações de toda a Coréia do Sul e Taiwan devem agora antecipar os ataques de vários estágios e credenciais que combinam engenharia de código de shell de baixo nível com implantes furtivos no modo de kernel.
Aumente seu SoC e ajude sua equipe a proteger sua empresa com inteligência de ameaças de primeira linha: solicite um teste premium de pesquisa.
