Дослідники компанії Hudson Rock отримали рідкісну можливість побачити, як виглядає кібератака зсередини: інфостилер Lumma Stealer, який зазвичай застосовується злочинцями проти жертв, цього разу заразив робочу станцію самого північнокорейського хакера. За наявними даними, цей хост був залучений до інфраструктури операції зі зломом криптобіржі Bybit та викраденням криптовалютних активів орієнтовно на 1,4 млрд доларів США.
Як інфостилер Lumma Stealer вивів на слід північнокорейських операторів
Lumma Stealer належить до класу інфостилерів — шкідливих програм, які автоматично збирають логіни та паролі, cookie-файли, дані автозаповнення браузера, сесії криптогаманців та іншу конфіденційну інформацію. Аналіз операторських логів, отриманих Hudson Rock, показав, що серед заражених пристроїв опинилася робоча станція, пов’язана з північнокорейською кіберактивністю.
Серед викрадених облікових даних було виявлено адресу електронної пошти [email protected]. Раніше вона фігурувала в дослідженнях компанії Silent Push як елемент інфраструктури атаки на Bybit. Співставлення артефактів із двох джерел дозволило пов’язати скомпрометований хост із тією ж злочинною екосистемою.
Фішинг проти Bybit: роль домену bybit-assessment.com
Ключовим технічним індикатором стала реєстрація домену bybit-assessment.com, для якої використали вказану email-адресу. Домен був створений за кілька годин до зламу Bybit у лютому 2025 року та виконував функцію фішингового ресурсу, що імітував інтерфейс біржі для викрадення облікових записів та ініціювання завантаження шкідливих файлів.
Інцидент приписується операторам, пов’язаним із КНДР, імовірно з APT-групою Lazarus. Для таких кампаній характерне розгортання низки фішингових доменів, підроблених форм логіну, а також поширення модифікованих додатків, замаскованих під легітімні клієнти криптобірж та фінансових сервісів. Саме така модель атаки багаторазово фіксується в розвідданих щодо північнокорейських APT.
Профіль скомпрометованої робочої станції: розробницький вузол з шкідливим ПЗ
За даними Hudson Rock, заражена система була повноцінною робочою станцією розробника: Intel Core i7 12-го покоління, 16 ГБ RAM, встановлена Visual Studio Professional 2019 та утиліта Enigma Protector. Остання широко використовується для «упаковки» виконуваних файлів, ускладнення реверс-інжинірингу та обходу антивірусних рішень. Це вказує, що хост застосовувався не лише для атак, а й для створення та захисту шкідливого ПЗ.
Мережеві та мовні артефакти додали геотехнічний контекст. Вихід в інтернет здійснювався через Astrill VPN з американською IP-адресою, в браузері був обраний інтерфейс спрощеною китайською, а історія перекладів містила численні запити корейською. Структура каталогів у Dropbox свідчила про використання хмарного сховища для організації доступу до викрадених даних та їх подальшого розповсюдження між учасниками операції.
Astrill VPN та фішингові домени в операціях КНДР
Застосування Astrill VPN узгоджується з попередніми спостереженнями за північнокорейськими APT-групами. У 2025 році дослідники описували кампанії, у яких хакери з КНДР під виглядом кандидатів на вакансії в західних IT-компаніях також використовували Astrill для маскування реальних IP-адрес. Повторне використання інструментів — типовий маркер сталої операційної моделі.
Логи Lumma Stealer показали підготовку до масштабної фішингової активності: були зареєстровані домени callapp.us, callservice.us і піддомен zoom.callapp.us. Така структура дає змогу будувати правдоподібні сценарії соціальної інженерії — наприклад, надсилати жертвам посилання на нібито «оновлення Zoom» або «встановлення корпоративного додатка». Локальний IP-адрес фальшивого інсталятора Zoom вів до тієї ж робочої станції, додатково пов’язуючи окремі елементи інфраструктури в єдину кампанію.
Коли APT самі стають жертвами: приклад Kimsuky та витік North Korea Files
Компрометація північнокорейського оператора стилером Lumma — не поодинокий випадок. У червні 2025 року електронний журнал Phrack опублікував розслідування «APT Down: The North Korea Files», де описано злам учасника шпигунської групи Kimsuky (також відомої як APT43 або Thallium). Аналіз його системи дозволив відновити тактики, техніки та процедури (TTPs) групи, а також виявити численні порушення операційної безпеки (OPSEC).
Для команд захисту такі інциденти мають високу розвідувальну цінність. Вони підтверджують, що навіть добре організовані державні APT-групи вразливі до тих самих загроз, які застосовують проти своїх цілей. Компрометація їхньої інфраструктури перетворюється на джерело кіберрозвідданих, що покращують виявлення атак, кореляцію інцидентів та формування якісних індикаторів компрометації (IoC).
Випадок зі стилером Lumma та операцією проти криптобіржі Bybit демонструє критичні ризики централізованої та погано сегментованої інфраструктури, повторного використання акаунтів і VPN, а також нехтування базовою кібергігієною. Щоб мінімізувати подібні ризики, організаціям варто посилювати моніторинг аномальної активності, суворо сегментувати критичні системи, застосовувати багатофакторну автентифікацію, уникати повторного використання облікових даних і активно впроваджувати підхід threat-informed defense — оборону, побудовану з огляду на реальні техніки супротивника. Регулярний аналіз публічних звітів про APT-групи та подібні провали їхньої OPSEC дає змогу не лише краще розуміти загрози, а й використовувати помилки атакувальних сторін для підвищення власної кіберстійкості.
