North Korean APT37 Mobile Spyware Discovered
A new Android spyware called KoSpy has been attributed to the North Korean group APT37 (ScarCruft). The malware, active since March 2022, targets Korean and English-speaking users by masquerading as utility apps. KoSpy uses a two-stage C2 infrastructure, retrieving initial configurations from Firebase cloud databases. It can collect extensive data, including SMS messages, call logs, location, files, audio, and screenshots via dynamically loaded plugins. The spyware has been distributed through Google Play and third-party app stores. Evidence suggests infrastructure sharing with APT43 (Kimsuky), another North Korean state-sponsored group. KoSpy's capabilities include collecting sensitive information, recording audio, capturing screenshots, and keylogging. The campaign targets Korean and English speakers, with samples available on Google Play and third-party stores.
Pulse ID: 67faa89090f9e91934f02cf2
Pulse Link: https://otx.alienvault.com/pulse/67faa89090f9e91934f02cf2
Pulse Author: AlienVault
Created: 2025-04-12 17:53:20
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
LevelBlue Open Threat ExchangeLevelBlue - Open Threat ExchangeLearn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
Detailed Analysis of DocSwap Malware Disguised as Security Document Viewer
A new malware called DocSwap, disguised as a document viewing authentication app, was discovered targeting South Korean mobile users. The malware, linked to a North Korean APT group, performs keylogging and information theft through accessibility services. It decrypts an obfuscated APK file, executes code from a DEX file, and communicates with a C2 server to receive malicious commands. The malware requests extensive permissions, maintains persistence, and performs various malicious activities including camera manipulation and audio recording. The C2 infrastructure initially displayed a phishing page impersonating CoinSwap, later showing characteristics associated with the Kimsuky group. The threat actor has been designated as puNK-004 by S2W TALON.
Pulse ID: 67faa88ecf8cad21f1b6a246
Pulse Link: https://otx.alienvault.com/pulse/67faa88ecf8cad21f1b6a246
Pulse Author: AlienVault
Created: 2025-04-12 17:53:18
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
LevelBlue Open Threat ExchangeLevelBlue - Open Threat ExchangeLearn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
"Kimsuky APT Targets South Korea with Deceptive PDF Lures" published by Seqrite. #Kimsuky, #LNK, #DPRK, #CTI https://www.seqrite.com/blog/kimsuky-apt-south-korea-pdf-lures/
Blogs on Information Technology, Network & Cybersecurity | Seqrite · Kimsuky APT Targets South Korea with Deceptive PDF LuresSeqrite Labs uncovers Kimsuky (Black Banshee) APT campaigns targeting South Korea with government-themed PDF lures. Learn about the infection chain, technical analysis, and IOCs. Protect your systems now.
APT Targets South Korea with Deceptive PDF Lures
The Kimsuky APT group, also known as Black Banshee, has been actively targeting South Korean government entities using evolving tactics. Two distinct campaigns were uncovered, both utilizing government-themed PDF documents as lures. The infection chain begins with a phishing email containing a malicious LNK file attachment, which drops an obfuscated VBA script. This script then deploys additional files, including a PDF and a ZIP containing malicious components. The attacks involve sophisticated techniques such as Base64 encoding, obfuscation, and VM-aware evasion. The malware's functionalities include data exfiltration, cryptocurrency wallet theft, browser data extraction, keylogging, and establishing C2 communication. The campaigns demonstrate the group's continuous efforts to compromise South Korean targets using deceptive tactics and multi-stage malware.
Pulse ID: 67efe85af4503af2018d414e
Pulse Link: https://otx.alienvault.com/pulse/67efe85af4503af2018d414e
Pulse Author: AlienVault
Created: 2025-04-04 14:10:34
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
LevelBlue Open Threat ExchangeLevelBlue - Open Threat ExchangeLearn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
"김수키(Kimsuky)성범죄자의 신상정보공개 양식 으로 위장해서 만든 악성코드-성범죄자 신상정보 고지.pdf.lnk(2025.3.25)" published by Sakai. #Kimsuky, #LNK, #DPRK, #CTI https://wezard4u.tistory.com/429442
꿈을꾸는 파랑새 · 김수키(Kimsuky)성범죄자의 신상정보공개 양식 으로 위장해서 만든 악성코드-성범죄자 신상정보 고지.pdf.lnk(2025.3.25)오늘도 정말로 존경하지 않는 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 성범죄자 신상정보 고지.pdf.lnk(2025.3.25) 에 대해 알아보겠습니다.파일명:성범죄자 신상정보 고지.pdf.lnk사이즈:1 MBMD5:1d64508b384e928046887dd9cb32c2acSHA-1:23cf29e451394d1824046335b2c85eaa2b6e4d0bSHA-256:a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189악성코드에 포함된 내용StringData{ namestring: not present relativepath: not present workingdir: not present commandlinearguments..
Inside Kimsuky’s Latest Cyberattack: Analyzing Malicious Scripts and Payloads
Kimsuky, also known as “Black Banshee,” a North Korean APT group active at least from 2012, is believed to be state-sponsored. Their cyber espionage targets countries like South Korea, Japan, and the U.S. Their tactics include phishing, malware infections (RATs, backdoors, wiper malware), supply chain attacks, lateral movement within networks and data exfiltration.
Pulse ID: 67e5c75c2569365ec3ecae21
Pulse Link: https://otx.alienvault.com/pulse/67e5c75c2569365ec3ecae21
Pulse Author: AlienVault
Created: 2025-03-27 21:47:08
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
LevelBlue Open Threat ExchangeLevelBlue - Open Threat ExchangeLearn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
"Inside Kimsuky’s Latest Cyberattack: Analyzing Malicious Scripts and Payloads" published by K7SecurityLabs. #Kimsuky, #DPRK, #CTI https://labs.k7computing.com/index.php/inside-kimsukys-latest-cyberattack-analyzing-malicious-scripts-and-payloads/
K7 Labs · Inside Kimsuky's Latest Cyberattack: Analyzing Malicious Scripts and Payloads - K7 LabsKimsuky, also known as “Black Banshee,” a North Korean APT group active at least from 2012, is believed to be […]
"북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)" published by Sakai. #Kimsuky, #DPRK, #CTI https://wezard4u.tistory.com/429438
꿈을꾸는 파랑새 · 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)오늘은 정말로 존경 하나도 하지 않은 민폐인 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)에 대해 알아보겠습니다.해당 악성코드는 저작권 관련해서 사칭하는 것을 볼 수가 있으며 제목 또한 저작권관련내역.url으로 보면 쉽게 추측할 수 있습니다.파일명:저작권관련내역(.)url사이즈:1 MBMD5:66bd429d02479a029a25ccacc0d134b3SHA-1:2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0SHA-256:755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9cinvoice-docs-file(.)site 도메인은 멀웨어 활동과 연관돼 있으며..
Kimsuky Phishing Attack: Compromised Accounts and Malicious Scripts
#Kimsuky
https://blog.scarletshark.com/kimsuky-phishing-attack-compromised-accounts-and-malicious-scripts-895264132e80
Medium · Kimsuky Phishing Attack: Compromised Accounts and Malicious Scripts
North Korean APT Kimsuky aka Black Banshee – Active IOCs
#Kimsuky
https://rewterz.com/threat-advisory/north-korean-apt-kimsuky-aka-black-banshee-active-iocs-43
"North Korean APT Kimsuky aka Black Banshee – Active IOCs" published by Rewterz. #Kimsuky, #DPRK, #CTI https://rewterz.com/threat-advisory/north-korean-apt-kimsuky-aka-black-banshee-active-iocs-43
"북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16)" published by Sakai. #Kimsuky, #DPRK, #CTI https://wezard4u.tistory.com/429434
꿈을꾸는 파랑새 · 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16)오늘은 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트 인 vbs.html(2025.3.16)에 대해 알아보겠습니다. 해당 악성 VBS 스크립트는 다음 악성 URL을 통해서 유포되었습니다.파일명:vbs.html사이즈:1 MBMD5:a6598bbdc947286c84f951289d14425cSHA-1:07c7cf4441254e8754aa62150bf8c5365c3825f4SHA-256:5f23b1ca43f6a18e3c9f21d390f5d1e187b1339b07a1dce70f8338f3be320878hxxp://mrasis(.)n-e(.)kr입니다.해당 사이트는 도메인의 WHOIS 정보는 러시아에서는 Garant-G Ltd 미국에서는 EDGECAST에 등록되어 있음을 나타내며 이는 합법적인 ..
"김수키(Kimsuky) 에서 만든 파워셀 악성코드-1.ps1(<-가칭 2025.3.13)" published by Sakai. #Kimsuky, #DPRK, #CTI https://wezard4u.tistory.com/429432
꿈을꾸는 파랑새 · 김수키(Kimsuky) 에서 만든 파워셀 악성코드-1.ps1(<-가칭 2025.3.13)오늘은 북한의 APT 조직인 북한 정찰총국 산하의 해킹 조직 중인 하나인 김수키(Kimsuky) 에서 만든 파워셀 악성코드인 1.ps1(파일명:1.ps1사이즈:1 MBMD5:85f5075610661c9706571a33548d7585SHA-1:bc36b9e8cf23dc0287f090a5c0bad3b391d00f86SHA-256:6ffb5106d912e582bde2c095365fa37a441741e4b9ea7f856b2ecad9516b74c2해당 코드는 단순하게 PowerShell(파워셀) 된 악성코드 이면 해당 코드 에 국민 메신저이고 어느 곳에서는 검열 문제로 시끄러운 카카오톡 관련 url 이 있는 악성코드입니다.악성코드 내용$iPath = "$env:TEMP\processlist(.)txt";$cPat..
"김수키(Kimsuky) 에서 만든 악성코드-2025-03-05임x철대표님께드리는글.pdf.lnk(2025.3.6)" published by Sakai. #Kimsuky, #LNK, #DPRK, #CTI https://wezard4u.tistory.com/429426
꿈을꾸는 파랑새 · 김수키(Kimsuky) 에서 만든 악성코드-2025-03-05임x철대표님께드리는글.pdf.lnk(2025.3.6)오늘도 같은 민족인 것이 부끄러운 우리의 주적 북한 해킹 단체에서 만든 악성코드인 2025-03-05임x철대표님께드리는글.pdf.lnk(2025.3.6)에 대해 알아보겠습니다.블로코어(Blocore)와 게임베리(Gameberry)의 창업자와 대표이사인 분을 공격하기 위해서 만들어진 악성코드인 것 같습니다. 북한 애들이 최근에는 AI 관련 기술에 관심이 많은 것 같습니다.아무튼, 해당 악성코드에 대해 글을 적어 보겠습니다.해쉬파일명:2025-03-05임x철대표님께드리는글.pdf.lnk사이즈:1 MBMD5:f2a9c827539183178e9175be36995de0SHA-1:8cd66575b9d4f6688fff9cc1e238a84278b84cbbSHA-256:ff77862dd29e51dcb88242e965d3..
"Kimsuky 그룹의 워터링 홀 공격, 통일 분야 교육 지원서를 위장한 악성 파일 유포 주의" published by ESTSecurity. #Kimsuky, #Wateringhole, #DPRK, #CTI https://blog.alyac.co.kr/5534
이스트시큐리티 알약 블로그 · Kimsuky 그룹의 워터링 홀 공격, 통일 분야 교육 지원서를 위장한 악성 파일 유포 주의안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 유명 대학에서 개최하는 통일 분야 교육 프로그램 지원서 파일을 이용한 워터링 홀 공격이 발견되어 관련자분들의 각별한 주의가 필요합니다. 워터링 홀 공격이란?공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고, 대상이 접속할 때를 기다렸다가 감염시키는 공격 기법입니다. 해당 방법은 특정 웹사이트를 방문하는 대상을 노려 효율적으로 감염시킬 수 있다는 점에서 위험성이 높습니다. 이번 공격은 통일 분야 교육 프로그램 수강생을 모집하기 위해 작성된 공지 게시글에 악성 지원서 문서 파일을 업로드하여, 교육 수강 신청을 위해 사이트를 방문한 사용자가 지원서 파일을 다운로드 및 실행하여 악성 파일이 감염되는 방식을 사용하고 있습..
"비상계엄 테마 APT 공격과 Kimsuky 그룹 연관성 분석" published by Genians. #Kimsuky, #Phishing, #DPRK, #CTI https://www.genians.co.kr/blog/threat_intelligence/apt-attacks-martial-law
www.genians.co.kr비상계엄 테마 APT 공격과 Kimsuky 그룹 연관성 분석이번 APT공격은 비상계엄 이슈를 악용한 사회공학적 기법으로, 스피어 피싱 메일을 통해 유포되었습니다. 특히, CPL확장자의 악성 제어판 파일을 활용해 호기심을 유발하고, 보안솔루션의 탐지를 우회하도록 설계되었으며, 암호화된 명령을 사용하는 등 최신 위협 기법이 적용되었습니다.
"악성 LNK 분석: Malicious LNK analysis" published by Ssol2. #Kimsuky, #LNK, #DPRK, #CTI https://ssol2.kr/%EC%95%85%EC%84%B1-lnk-%EB%B6%84%EC%84%9D-2025-02-23-9607a1f3975454e8dfb544191df953ce-hijackloader-ryuk-469e64318f14
ssoL2 Blog · 악성 LNK 분석: Malicious LNK analysis - ssoL2 Blog