Một kho dữ liệu hoạt động toàn diện từ tổ chức Kimsuky APT của Triều Tiên, còn được biết đến với tên gọi APT43, Thallium hoặc Velvet Chollima, đã xuất hiện trên một diễn đàn dark web. Đây là một trường hợp hiếm hoi về việc rò rỉ dữ liệu tình báo từ một nhóm gián điệp mạng do nhà nước tài trợ.

Vụ rò rỉ dữ liệu này bao gồm các hình ảnh máy ảo (VM images), bản sao máy chủ riêng ảo (VPS dumps), bộ công cụ lừa đảo (phishing kits), rootkit và hơn 20.000 bản ghi lịch sử trình duyệt. Nó cung cấp một cái nhìn sâu sắc chưa từng có về cơ sở hạ tầng và chiến thuật của nhóm này.

Tổng quan về nhóm Kimsuky APT và mục tiêu

Nhóm Kimsuky đã hoạt động từ năm 2012, nhắm mục tiêu vào các tổ chức ở Hàn Quốc, Hoa Kỳ, Nhật Bản và Châu Âu với mục đích thu thập thông tin tình báo. Nhóm này sử dụng cả phần mềm độc hại tùy chỉnh và các công cụ thương mại như Cobalt Strike.

Dữ liệu bị rò rỉ được thu thập vào khoảng ngày 10 tháng 6 năm 2025, từ máy ảo Deepin Linux 20.9 của một nhà điều hành có biệt danh “KIM” và một máy chủ lưu trữ tại vps.bz. Vụ việc không chỉ phơi bày các chiến dịch đơn lẻ mà còn cả xương sống hoạt động đầy đủ của nhóm, bao gồm bộ nhớ đệm thông tin đăng nhập, quy trình phát triển mã độc và các cơ chế duy trì quyền truy cập.

Đối với các nhà nghiên cứu an ninh mạng, đây là một nguồn tình báo cực kỳ quan trọng, cho phép phân tích chi tiết cách Kimsuky APT duy trì quyền truy cập trên nhiều lĩnh vực như chính phủ, quốc phòng, viễn thông và học thuật.

Kho vũ khí mã độc và công cụ khai thác của Kimsuky

Kho dữ liệu đã tiết lộ một bộ sưu tập các phần mềm cấy ghép (implants) tinh vi. Trong số đó có:

Tomcat Kernel Rootkit: Backdoor cấp độ Kernel

Tomcat Kernel Rootkit là một backdoor dạng Linux Loadable Kernel Module (LKM). Rootkit này tích hợp các tính năng như TCP knocking, khả năng thiết lập reverse shell qua SSL, và cơ chế duy trì quyền truy cập ở cấp độ root, cho phép nhóm duy trì sự hiện diện bí mật và bền bỉ trên các hệ thống mục tiêu.

Cobalt Strike Beacon tùy chỉnh

Đi kèm với Rootkit là một Cobalt Strike Beacon đã được tùy chỉnh với các cấu hình Command and Control (C2) riêng biệt. Nó hoạt động qua giao thức HTTP trên cổng 8172, giả mạo User Agent của trình duyệt IE9 và tích hợp với một module kernel Linux (hkcap.c) để tăng cường khả năng tàng hình.

Ivanti “RootRot” và Bushfire Exploit Kit

Các nhà nghiên cứu cũng phát hiện ra implant Ivanti “RootRot”, một backdoor dai dẳng có khả năng sống sót qua các bản vá bảo mật. Cùng với nó là Bushfire Exploit Kit, được thiết kế để khai thác các lỗ hổng CVE của Ivanti dự kiến vào năm 2025, bao gồm CVE-2025-0282, CVE-2025-0283 và CVE-2025-22457. Mã nguồn của Bushfire Exploit Kit có sự trùng lặp với mã của nhóm APT UNC5221 của Trung Quốc, gợi ý về việc chia sẻ công cụ giữa các quốc gia. Bạn có thể tìm hiểu thêm về các CVE này tại NVD NIST.

SpawnChimera Backdoor: Tàng hình qua TLS

Backdoor SpawnChimera được tìm thấy nhúng trong cơ sở hạ tầng liên quan đến tờ báo The Hankyoreh của Hàn Quốc (hani.co.kr). Nó sử dụng các gói TLS Client Hello kèm theo checksum CRC32 để thực hiện giao tiếp C2 một cách bí mật, tránh bị phát hiện bằng cách hòa mình vào lưu lượng truy cập HTTPS thông thường.

Chiến dịch lừa đảo (phishing) và đánh cắp thông tin đăng nhập

Các hoạt động lừa đảo được công nghiệp hóa thông qua các script generator.php, giả mạo các tên miền như dcc.mil.kr (Bộ Chỉ huy Chống Tình báo Quốc phòng Hàn Quốc) và mofa.go.kr (Bộ Ngoại giao). Tệp config.php còn chứa danh sách đen các địa chỉ IP từ Google và Trend Micro nhằm ngăn chặn việc quét tự động của các dịch vụ bảo mật.

Nhật ký cho thấy các chiến dịch đang hoạt động nhắm vào các mục tiêu giá trị cao, bao gồm Viện Kiểm sát Tối cao (spo.go.kr), korea.kr, Daum, Kakao và Naver, chỉ vài ngày trước khi kho dữ liệu bị rò rỉ.

Rò rỉ mã nguồn và chứng chỉ GPKI

Một kho lưu trữ nén chứa mã nguồn hệ thống email của Bộ Ngoại giao, bị đánh cắp vào khoảng tháng 4 năm 2025, bao gồm các điểm cuối xác thực được mã hóa cứng. Điều này có khả năng cho phép cấy ghép backdoor hoặc tạo ra các mồi nhử lừa đảo hoàn hảo.

Một trong những phát hiện đáng báo động nhất là hàng nghìn chứng chỉ và khóa GPKI của Hàn Quốc bị đánh cắp, được brute-force thông qua một công cụ Java tùy chỉnh. Điều này cho phép giả mạo các quan chức để ký tài liệu và truy cập các cổng thông tin an toàn. Việc thu thập thông tin đăng nhập diễn ra tràn lan, với các mẫu tái sử dụng như “1qaz2wsx” trên các tài khoản VPS và email, làm nổi bật những điểm yếu trong hoạt động của Kimsuky APT.

Điểm yếu trong quy trình hoạt động (OPSEC)

Việc sử dụng các tiện ích mở rộng trình duyệt để giả mạo user-agent, quản lý proxy và thao tác cookie cho thấy trình độ kỹ thuật của nhóm. Tuy nhiên, một bản hướng dẫn sử dụng backdoor tùy chỉnh (ko图文编译.doc) cảnh báo chống lại việc lạm dụng bằng tiếng Trung Quốc, cung cấp thêm manh mối về nhóm.

Thói quen của các nhà điều hành cũng phơi bày bức tranh về con người đằng sau các cuộc tấn công: đăng nhập định kỳ từ 09:00-17:00 giờ Bình Nhưỡng, sử dụng Google Translate để chuyển đổi từ tiếng Hàn sang tiếng Trung, và các tìm kiếm về mã hóa chacha20/arc4. Những thất bại về bảo mật vận hành (OPSEC) này, từ mã hóa XOR yếu trong các exploit đến việc tái sử dụng thông tin đăng nhập, đã phơi bày những lỗ hổng trong bộ máy tấn công mạng của CHDCND Triều Tiên.

Ý nghĩa tình báo và khuyến nghị phòng vệ

Về mặt chiến lược, vụ rò rỉ nhấn mạnh các chiến thuật duy trì quyền truy cập tập trung vào thông tin đăng nhập, hợp tác xuyên biên giới và các hoạt động lừa đảo quy mô công nghiệp của Kimsuky APT. Nó cung cấp cho các nhà phòng thủ những hiểu biết sâu sắc, có thể hành động về các mối đe dọa mạng đang nổi lên, chẳng hạn như các công cụ gián điệp di động (phiên bản ToyBox fork) và các làn sóng khai thác lỗ hổng Ivanti.

Các Dấu hiệu Kỹ thuật và TTPs (Tactics, Techniques, and Procedures)

• C2 của Cobalt Strike: HTTP trên cổng 8172, User Agent IE9.
• C2 của SpawnChimera: Giao tiếp thông qua TLS Client Hello với checksum CRC32.
• Tên miền lừa đảo giả mạo:dcc.mil.kr, mofa.go.kr.
• IP bị blacklist trong phishing kit: IP của Google và Trend Micro.
• Thông tin đăng nhập tái sử dụng: “1qaz2wsx”.
• Mã khai thác được ghi nhận: Bushfire Exploit Kit nhắm mục tiêu CVE-2025-0282, CVE-2025-0283, CVE-2025-22457.

Sự phơi bày này có thể làm gián đoạn các chiến dịch của nhóm Kimsuky, nhấn mạnh sự cần thiết phải tăng cường giám sát các yếu tố con người trong hoạt động của các tác nhân do nhà nước tài trợ. Việc hiểu rõ các mã độc và chiến thuật của chúng là bước đầu tiên để xây dựng các biện pháp phòng vệ hiệu quả hơn.