Стратегия Kimsuky: сложные APT-атаки через Facebook и Telegram

Государственная хакерская группа Kimsuky разворачивает сложную многоэтапную кампанию APT

В начале 2025 года стало известно о новой активизации кибершпионской группы Kimsuky, финансируемой государством и связанной с Северной Кореей. В период с марта по апрель 2025 года злоумышленники запустили целенаправленную кампанию типа APT, нацеленную на лиц и организации, вовлечённые в деятельность, связанную с Северной Корей.

Трёхэтапная стратегия проникновения

Для установления контактов с целевыми жертвами группа использовала скоординированный мультиканальный подход:

• Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) — злоумышленники создавали фиктивные аккаунты, выдавая себя за благотворителей и исследователей;
• Электронная почта — рассылка вредоносных вложений в защищенных архивных файлах EGG с уникальным корейским сжатием для обхода систем защиты;
• Telegram — для поддержания коммуникаций на поздних этапах атаки.

Под прикрытием тематики волонтерской деятельности северокорейских перебежчиков пользователи постепенно убеждались открыть вредоносные документы, маскирующиеся под легитимные файлы.

Особенности вредоносных файлов и техники обхода обнаружения

• Вредоносные вложения представляли собой защищённые паролем архивы формата EGG, что позволяло злоумышленникам обходить системы безопасности, основанные на сигнатурах.
• Для распаковки таких архивов требовались специальные инструменты, что исключало возможность открытия вредоносного кода на мобильных устройствах — вредоносное ПО было ориентировано исключительно на платформу Windows.
• Для маскировки атак использовалась техника _»скрытого фишинга»_, при которой пользователям предлагали выполнять загрузку вложений под видом рабочих документов, связанных с благотворительностью.

Механизмы вредоносных операций

Ключевым элементом атаки стал вредоносный скрипт с расширением .JSE. Этот JScript-файл, исполняемый с помощью Microsoft Windows Script Host, при запуске одновременно формирует ложный документ и создаёт вредоносную DLL-библиотеку.

Защищенная с помощью VMProtect DLL выполняет основные вредоносные функции:

• Автоматическая загрузка при старте Windows посредством изменений в реестре;
• Взаимодействие с сервером управления (C2) с передачей структурированных HTTP-запросов;
• Выполнение команд и передача украденных данных в режиме реального времени.

Целевые отрасли и акцент кампании «AppleSeed»

Кампания под названием AppleSeed, ранее связанная с Kimsuky, ориентирована на объекты трех ключевых секторов:

• Военно-оборонная сфера;
• Вооружённые силы;
• Производители вакцин.

Такой выбор жертв подчёркивает стратегическую значимость киберопераций для сбора разведывательных данных и влияния на критически важные направления.

Реакция индустрии и важность передовых технологий защиты

Компания Genians ведёт активный мониторинг и выявление подобных угроз, используя технологии EDR и машинное обучение. Специалисты подчеркивают высокую степень риска, который несут такие продолжительные и скоординированные кампании APT.

Тактика Kimsuky демонстрирует искусное сочетание социальной инженерии, технического изощрения вредоносного ПО и продуманного мультиплатформенного подхода, что требует от организаций внедрения передовых систем обнаружения и реагирования на угрозы.

Заключение

Пример деятельности хакерской группы Kimsuky ясно показывает, насколько серьёзной и многофакторной может быть современная киберугроза, связывающая в себе умение манипулировать жертвами и использование сложных технических решений для обхода защиты. В условиях постоянного эволюционирующего ландшафта кибербезопасности важны постоянные инвестиции в инновационные методы борьбы с угрозами и повышение осведомлённости пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.