“Kim”泄露事件揭示了朝鲜黑客组织Kimsuky（APT43）的战术和技术，主要针对韩国和台湾网络进行凭证窃取。泄露数据包括bash历史记录、钓鱼域名、OCR工作流程、编译的stager和rootkit证据，显示其操作结合了朝鲜的归属和中国的资源利用。报告分为技术分析、动机与目标分析以及威胁情报报告三部分，深入剖析了该组织的活动模式。

文章标题：揭秘Kimsuky泄露事件：“Kim”数据泄露如何暴露朝鲜的凭证窃取策略 - DomainTools调查 | DTI

主要内容：

2025年9月，一场罕见的网络泄露事件揭示了朝鲜关联黑客组织Kimsuky（APT43）的战术、技术和基础设施。此次泄露的数据由一名代号为“Kim”的黑客公开，内容涵盖了针对韩国和台湾网络的凭证窃取行动，并显示出与中国资源的潜在关联。泄露的数据包括终端历史记录、钓鱼域名、OCR工作流、编译的恶意软件加载器以及rootkit证据，反映了朝鲜与中国资源利用的混合操作模式。

技术分析： 泄露的数据集提供了对朝鲜网络操作的独特视角，展示了使用NASM（Netwide Assembler）进行恶意软件开发的日志，以及针对韩国PKI（公钥基础设施）和VPN部署的OCR操作。此外，泄露的PAM（特权访问管理）日志显示了对关键系统的持续访问，钓鱼基础设施则模仿了韩国政府门户网站，旨在通过中间人攻击（AiTM）技术窃取用户凭证。

凭证窃取： 泄露数据中包含了韩国政府PKI的密钥文件（如136백운규001env.key）和明文密码，表明攻击者已成功入侵韩国的GPKI系统。PAM日志进一步证实了攻击者对特权凭证的持续控制，涉及的管理账户如oracle、svradmin和appadm01，表明攻击者能够像内部人员一样操作受信任的系统。

钓鱼基础设施： 攻击者的钓鱼基础设施广泛且针对性强，域名如nid-security[.]com和webcloud-notice[.]com模仿了韩国的身份和文档服务，旨在拦截用户登录信息或部署恶意载荷。攻击者还使用了临时邮箱地址，如jeder97271[@]wuzak[.]com，通过TLS代理实时捕获凭证。

恶意软件开发： 攻击者的恶意软件开发环境展示了高度手工化的定制方法，使用NASM编译shellcode，并通过GitHub克隆或引用了多个公开的恶意工具，如TitanLdr、minbeacon和CobaltStrike-Auto-Keystore。攻击者还使用了proxyres库来探测Windows代理设置，表明其对企业网络级安全控制的兴趣。

rootkit工具包： 泄露数据中包含了Linux rootkit的代码，使用syscall hooking和隐蔽通道部署，能够在Linux系统上长期隐藏并维持控制。rootkit的核心模块vmmisc.ko通过内核模式部署，支持多种x86_64 Linux发行版，具备隐藏文件、目录和进程的能力，并通过SOCKS5代理和加密会话进行远程控制。

战略意义： 此次泄露揭示了攻击者对Linux服务器环境的持久访问能力，表明其具备长期意图和基于信任的权限提升。攻击者的路径、语言模式和技术与Kimsuky的历史操作高度一致，进一步支持了朝鲜背景的推断。

目标分析： 攻击者的主要目标集中在韩国的PKI系统和台湾的基础设施。在韩国，攻击者通过OCR解析技术文档，试图理解和克隆政府级的身份验证系统。在台湾，攻击者则针对开发者的基础设施和云访问门户，试图通过.git目录枚举内部代码库，获取硬编码的密钥或部署脚本。

混合归因模型： 此次泄露事件展示了现代国家网络行动的复杂性，攻击者既表现出朝鲜背景的技术和语言特征，又广泛使用中国的基础设施和平台，如gitee[.]com和百度。这种混合归因模型表明，朝鲜黑客可能在中国境内或与中国资源合作，以扩大其行动范围并掩盖其身份。

威胁情报报告： 泄露数据揭示了针对韩国和台湾的高价值凭证窃取和基础设施访问活动。攻击者通过钓鱼、中间人攻击和rootkit部署，持续渗透目标网络。防御策略应重点关注行为异常检测、钓鱼域名拦截以及管理员账户的监控和轮换。

总结： “Kim”泄露事件为Kimsuky及其相关操作者提供了迄今为止最全面的技术洞察，揭示了其凭证窃取、钓鱼和PKI入侵的战术，并展示了其在Linux系统上的持久控制能力。攻击者的行动不仅限于朝鲜半岛，还扩展至台湾，表明其战略目标的扩大。此次泄露事件提醒相关组织，特别是管理身份、证书和云访问基础设施的机构，应加强防御，以应对这种长期、嵌入式的网络威胁。

评论1（评分：无，作者：tremon）主要讨论了GitHub上存在用于攻击性工具开发的仓库，并质疑其存在的合理性。作者列举了TitanLdr、minbeacon、Blacklotus和CobaltStrike-Auto-Keystore等仓库，并指出它们在命令日志中被克隆或引用。作者进一步质疑这些仓库的存在是基于言论自由还是科学研究的相关性。

关键引用： 1. "The dump also revealed reliance on GitHub repositories known for offensive tooling."
“转储还揭示了依赖于已知用于攻击性工具开发的GitHub仓库。” 2. "What's the rationale for allowing the development of offensive tooling on github? Is this a free-speech thing, or are these repositories relevant for scientific research in some way?"
“允许在GitHub上开发攻击性工具的理由是什么？这是言论自由的问题，还是这些仓库在某种程度上与科学研究相关？”