Inside the Kimsuky Leak: How the “Kim” Dump Exposed...

shared a link

2025-09-08 02:04:13 -

เรื่องเล่าจาก rootkit ถึง OCR: เมื่อการขโมยรหัสผ่านกลายเป็นการปลอมตัวระดับรัฐ

การรั่วไหลของข้อมูลที่เรียกว่า “Kim dump” เปิดเผยการทำงานภายในของกลุ่ม Kimsuky ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ โดยมีเป้าหมายหลักคือการขโมยข้อมูลรับรอง (credentials) จากระบบของรัฐบาลเกาหลีใต้และไต้หวัน

ในข้อมูลที่รั่วออกมา มีทั้งประวัติการใช้คำสั่งในเทอร์มินัล, rootkit สำหรับ Linux, โดเมนฟิชชิ่งที่เลียนแบบเว็บไซต์ราชการ, และไฟล์ .key ที่ใช้ในระบบ GPKI (Government Public Key Infrastructure) ของเกาหลีใต้ ซึ่งเป็นระบบที่ใช้ยืนยันตัวตนของเจ้าหน้าที่รัฐ

แฮกเกอร์ใช้ OCR (Optical Character Recognition) เพื่อแปลงเอกสาร PDF ภาษาเกาหลีที่เกี่ยวข้องกับระบบ PKI และ VPN ให้กลายเป็นข้อมูลที่นำไปใช้สร้างเครื่องมือปลอมตัวได้ เช่น การปลอมลายเซ็นดิจิทัล หรือการสร้างระบบยืนยันตัวตนปลอม

นอกจากนี้ยังพบการใช้ rootkit ที่สามารถซ่อนตัวในระดับ kernel ของ Linux โดยใช้เทคนิค syscall hooking และการสร้าง reverse shell ที่มีการเข้ารหัส ซึ่งทำให้สามารถควบคุมเครื่องเป้าหมายได้โดยไม่ถูกตรวจจับ

ในฝั่งไต้หวัน แฮกเกอร์พยายามเข้าถึงระบบของสถาบันวิจัยและผู้ให้บริการคลาวด์ โดยเจาะเข้าไปในโฟลเดอร์ .git เพื่อค้นหาคีย์ API และข้อมูลการ deploy ที่อาจหลุดออกมาโดยไม่ตั้งใจ

สิ่งที่น่าจับตามองคือการใช้โครงสร้างพื้นฐานของจีน เช่น Gitee, Baidu และ Zhihu รวมถึงการตั้งค่าเครื่องในเขตเวลา UTC+9 (เวลาเปียงยาง) ซึ่งบ่งชี้ว่าแฮกเกอร์อาจเป็นคนเกาหลีเหนือที่ทำงานจากในจีน หรือได้รับการสนับสนุนจากโครงสร้างพื้นฐานของจีน

เป้าหมายหลักของ Kimsuky
ขโมย credentials และไฟล์ .key จากระบบ GPKI ของเกาหลีใต้
ใช้ OCR เพื่อวิเคราะห์เอกสารเทคนิคของระบบ PKI และ VPN
เจาะระบบของไต้หวันผ่านโฟลเดอร์ .git และระบบคลาวด์

เครื่องมือและเทคนิคที่ใช้
ใช้ NASM ในการเขียน shellcode สำหรับ Windows
ใช้ rootkit แบบ vmmisc.ko ที่ซ่อนตัวในระดับ kernel
ใช้ phishing domain เช่น nid-security[.]com และ spoofed portals เช่น spo.go.kr

โครงสร้างพื้นฐานและพฤติกรรม
ใช้เครื่องมือจาก GitHub และ Gitee เช่น TitanLdr, Blacklotus
ตั้งค่าเครื่องในเขตเวลา UTC+9 และใช้ภาษาเกาหลีในคำสั่ง
ใช้ภาพและเนื้อหาจากแพลตฟอร์มจีนเพื่อกลมกลืนกับผู้ใช้ใน PRC

การเจาะระบบของไต้หวัน
เข้าถึงโดเมนเช่น caa.org[.]tw/.git และ tw.systexcloud[.]com
ใช้ IP ที่เชื่อมโยงกับสถาบันวิจัยและรัฐบาล เช่น 163.29.3[.]119
พฤติกรรมบ่งชี้การเตรียมการเจาะระบบ supply chain

https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/

🎙️ เรื่องเล่าจาก rootkit ถึง OCR: เมื่อการขโมยรหัสผ่านกลายเป็นการปลอมตัวระดับรัฐ การรั่วไหลของข้อมูลที่เรียกว่า “Kim dump” เปิดเผยการทำงานภายในของกลุ่ม Kimsuky ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ โดยมีเป้าหมายหลักคือการขโมยข้อมูลรับรอง (credentials) จากระบบของรัฐบาลเกาหลีใต้และไต้หวัน ในข้อมูลที่รั่วออกมา มีทั้งประวัติการใช้คำสั่งในเทอร์มินัล, rootkit สำหรับ Linux, โดเมนฟิชชิ่งที่เลียนแบบเว็บไซต์ราชการ, และไฟล์ .key ที่ใช้ในระบบ GPKI (Government Public Key Infrastructure) ของเกาหลีใต้ ซึ่งเป็นระบบที่ใช้ยืนยันตัวตนของเจ้าหน้าที่รัฐ แฮกเกอร์ใช้ OCR (Optical Character Recognition) เพื่อแปลงเอกสาร PDF ภาษาเกาหลีที่เกี่ยวข้องกับระบบ PKI และ VPN ให้กลายเป็นข้อมูลที่นำไปใช้สร้างเครื่องมือปลอมตัวได้ เช่น การปลอมลายเซ็นดิจิทัล หรือการสร้างระบบยืนยันตัวตนปลอม นอกจากนี้ยังพบการใช้ rootkit ที่สามารถซ่อนตัวในระดับ kernel ของ Linux โดยใช้เทคนิค syscall hooking และการสร้าง reverse shell ที่มีการเข้ารหัส ซึ่งทำให้สามารถควบคุมเครื่องเป้าหมายได้โดยไม่ถูกตรวจจับ ในฝั่งไต้หวัน แฮกเกอร์พยายามเข้าถึงระบบของสถาบันวิจัยและผู้ให้บริการคลาวด์ โดยเจาะเข้าไปในโฟลเดอร์ .git เพื่อค้นหาคีย์ API และข้อมูลการ deploy ที่อาจหลุดออกมาโดยไม่ตั้งใจ สิ่งที่น่าจับตามองคือการใช้โครงสร้างพื้นฐานของจีน เช่น Gitee, Baidu และ Zhihu รวมถึงการตั้งค่าเครื่องในเขตเวลา UTC+9 (เวลาเปียงยาง) ซึ่งบ่งชี้ว่าแฮกเกอร์อาจเป็นคนเกาหลีเหนือที่ทำงานจากในจีน หรือได้รับการสนับสนุนจากโครงสร้างพื้นฐานของจีน ✅ เป้าหมายหลักของ Kimsuky ➡️ ขโมย credentials และไฟล์ .key จากระบบ GPKI ของเกาหลีใต้ ➡️ ใช้ OCR เพื่อวิเคราะห์เอกสารเทคนิคของระบบ PKI และ VPN ➡️ เจาะระบบของไต้หวันผ่านโฟลเดอร์ .git และระบบคลาวด์ ✅ เครื่องมือและเทคนิคที่ใช้ ➡️ ใช้ NASM ในการเขียน shellcode สำหรับ Windows ➡️ ใช้ rootkit แบบ vmmisc.ko ที่ซ่อนตัวในระดับ kernel ➡️ ใช้ phishing domain เช่น nid-security[.]com และ spoofed portals เช่น spo.go.kr ✅ โครงสร้างพื้นฐานและพฤติกรรม ➡️ ใช้เครื่องมือจาก GitHub และ Gitee เช่น TitanLdr, Blacklotus ➡️ ตั้งค่าเครื่องในเขตเวลา UTC+9 และใช้ภาษาเกาหลีในคำสั่ง ➡️ ใช้ภาพและเนื้อหาจากแพลตฟอร์มจีนเพื่อกลมกลืนกับผู้ใช้ใน PRC ✅ การเจาะระบบของไต้หวัน ➡️ เข้าถึงโดเมนเช่น caa.org[.]tw/.git และ tw.systexcloud[.]com ➡️ ใช้ IP ที่เชื่อมโยงกับสถาบันวิจัยและรัฐบาล เช่น 163.29.3[.]119 ➡️ พฤติกรรมบ่งชี้การเตรียมการเจาะระบบ supply chain https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/

DTI.DOMAINTOOLS.COM

Inside the Kimsuky Leak: How the “Kim” Dump Exposed North Korea’s Credential Theft Playbook - DomainTools Investigations | DTI

A rare and revealing breach attributed to a North Korean-affiliated actor, known only as “Kim” as named by the hackers who dumped the data, has delivered a new insight into Kimsuky (APT43) tactics, techniques, and infrastructure. This actor's operational profile showcases credential-focused intrusions targeting South Korean and Taiwanese networks, with a blending of Chinese-language tooling, infrastructure, and possible logistical support. The “Kim” dump, which includes bash histories, phishing domains, OCR workflows, compiled stagers, and rootkit evidence, reflects a hybrid operation situated between DPRK attribution and Chinese resource utilization.

0 Comments 0 Shares 27 Views 0 Reviews