Исследователи Hudson Rock получили редкую возможность заглянуть «по ту сторону» атаки: стилер Lumma, обычно применяемый киберпреступниками для кражи данных у жертв, на этот раз заразил устройство северокорейского хакера. По данным компании, эта машина была задействована в инфраструктуре операции, связанной с кражей криптовалюты с биржи Bybit на сумму около 1,4 млрд долларов.
Компрометация оператора: что показали логи стилера Lumma
Lumma Stealer — это вредоносное ПО класса инфостилеров, которое автоматизировано собирает учетные данные, куки, данные автозаполнения браузера, криптокошельки и другую чувствительную информацию с зараженных систем. Анализ логов, полученных Hudson Rock, показал, что одной из скомпрометированных машин стала рабочая станция хакера, связанного с северокорейской киберактивностью.
Среди украденных данных исследователи обнаружили адрес электронной почты [email protected]. Этот идентификатор ранее фигурировал в отчетах компании Silent Push и был увязан с инфраструктурой, использовавшейся при атаке на Bybit. Сопоставив наборы данных, аналитики пришли к выводу, что зараженное устройство являлось частью той же преступной экосистемы.
Связь зараженного ПК с атакой на криптобиржу Bybit
Ключевым артефактом стала регистрация домена bybit-assessment.com с использованием указанного email-адреса. Домен был создан всего за несколько часов до взлома Bybit в феврале 2025 года и использовался как элемент фишинговой инфраструктуры. Сайт имитировал интерфейс биржи и был предназначен для выуживания учетных данных и инициирования вредоносных загрузок.
Инцидент с Bybit приписывается операторам, ассоциируемым с КНДР, предположительно из группировки Lazarus. Для таких кампаний характерно использование цепочек фишинговых доменов, поддельных страниц авторизации, а также доставки модифицированных приложений, маскирующихся под легитимный софт криптобирж и финансовых сервисов.
Портрет скомпрометированной рабочей станции
По данным Hudson Rock, зараженная система представляла собой достаточно мощную рабочую станцию: процессор Intel Core i7 12-го поколения, 16 ГБ оперативной памяти, установленная Visual Studio Professional 2019 и утилита Enigma Protector. Последняя часто применяется для «упаковки» исполняемых файлов, усложнения реверс-инжиниринга и обхода антивирусной защиты. Это позволило исследователям сделать вывод, что машина использовалась как полноценный рабочий узел для разработки и эксплуатации вредоносного ПО.
Анализ истории браузера и приложений добавил геотехнический контекст. Трафик скомпрометированного хоста проходил через Astrill VPN с выходом на американский IP-адрес, в настройках браузера был выбран упрощенный китайский язык интерфейса, а история переводов содержала прямые запросы на корейском. Структура папок в Dropbox свидетельствовала об использовании облачного хранилища для загрузки и последующего доступа к похищенным данным.
Эксперты подчеркивают, что государственные APT-группировки часто используют общую инфраструктуру: одни и те же рабочие станции для разработки, наборы VPN-сервисов, реиспользуемые учетные записи и домены. Это повышает эффективность, но одновременно создаёт единые точки отказа и повышает риск деанонимизации при успешной компрометации любого звена.
Astrill VPN и фишинговые домены в руках северокорейских операторов
Использование Astrill VPN уже ранее фиксировалось в северокорейских операциях. В ноябре 2025 года исследователь Мауро Элдрич (Mauro Eldritch) описывал кампании, в которых хакеры из КНДР выдавали себя за кандидатов на вакансии в западных IT-компаниях и применяли тот же сервис для сокрытия реальных IP-адресов. Это подтверждает устойчивое предпочтение определенных инструментов в их операционной модели.
Логи Lumma также показали подготовку к масштабной фишинговой активности. Были зарегистрированы домены callapp.us, callservice.us и поддомен zoom.callapp.us. Такая структура указывает на типичную схему социальной инженерии: жертвам демонстрируются легитимно выглядящие ссылки на «обновление Zoom» или «установку корпоративного приложения», при переходе по которым загружается поддельный установщик. Локальный IP-адрес этого фальшивого установщика Zoom указывал на ту же рабочую станцию, что дополнительно связывает все элементы инфраструктуры.
Примечательно, что нет признаков того, что оператор заметил компрометацию собственных систем. Это дало специалистам Hudson Rock уникальную возможность детально изучить артефакты: от установленного ПО и конфигурации браузера до структуры украденных данными. На основе полученных материалов был создан специальный симулятор зараженной машины, доступный другим исследователям для обучения и анализа.
Не первый провал: пример Kimsuky и утечка «North Korea Files»
Случай с Lumma — не единичный эпизод компрометации северокорейских хакеров. В июне 2025 года легендарный езин Phrack опубликовал масштабное расследование «APT Down: The North Korea Files». В нем хакеры под псевдонимами Saber и cyb0rg описали взлом участника шпионской группы Kimsuky (также известной как APT43 и Thallium). Анализ содержимого его системы позволил раскрыть тактику, технику и процедуры (TTPs) этой APT-группировки, а также ошибки в операционной безопасности.
Для защитных команд подобные инциденты представляют значимую ценность: они демонстрируют, что даже хорошо организованные государственные акторы уязвимы к тем же угрозам, которые они используют против своих целей. Компрометация их инфраструктуры превращается в источник разведданных, помогающих улучшать детектирование, корреляцию инцидентов и формирование индикаторов компрометации (IoC).
История со стилером Lumma и операцией против Bybit наглядно показывает, что пренебрежение базовыми принципами кибергигиены и избыточная централизация инфраструктуры опасны для любой стороны — как для жертв, так и для атакующих. Организациям стоит усиливать мониторинг аномальной активности, сегментировать критичные системы, минимизировать повторное использование учетных данных и применять многофакторную аутентификацию. Регулярное изучение публичных расследований, отчетов по APT-группировкам и практик угрозоориентированной обороны (threat-informed defense) помогает выстраивать защиту с учетом реальных техник противника и использовать его собственные ошибки в свою пользу.
