گروه Kimsuky چیست؟
Kimsuky (معروف با نامهای APT43، Ruby Sleet و Black Banshee) یک گروه تهدید کرهای است که دست کم از سال ۲۰۱۳ فعال بوده و توسط تیم تحقیقاتی کسپرسکی (GReAT) رصد میشود. در جدیدترین گزارش کسپرسکی که ۱۴ می ۲۰۲۶ منتشر شد، این گروه ابزارهای جدیدی بر پایه PebbleDash و AppleSeed معرفی کرده که سازمانهای دفاعی، دولتی و بهداشتی را هدف قرار دادهاند.
ابزارهای جدید Kimsuky در ۲۰۲۶
PebbleDash — پلتفرم بدافزاری پیشرفته
PebbleDash یک پلتفرم بدافزار است که از سال ۲۰۲۱ توسط Kimsuky استفاده میشود. کسپرسکی در ۲۰۲۶ سه نسخه جدید شناسایی کرد:
- HelloDoor: اولین نسخه مبتنی بر Rust با استفاده از Cloudflare Tunneling (آوگست ۲۰۲۵)
- httpMalice: جدیدترین بکدر با رمزنگاری ChaCha20 و قابلیت اجرای دستور از راه دور
- httpTroy: بکدر اصلی برای استخراج اطلاعات بلندمدت
- MemLoad: دانلودری که httpTroy را برای دسترسی مستمر نصب میکند
AppleSeed — کلاستر سرقت اطلاعات
AppleSeed یک کلاستر بدافزاری است که از سال ۲۰۱۹ بر سرقت اطلاعات تمرکز دارد. در ۲۰۲۶ نسخه پیشرفتهای با نام HappyDoor شناسایی شد که بهطور خاص گواهینامههای GPKI دولتی کره جنوبی را هدف قرار میدهد.
روش حمله و سازمانهای هدف
- Spear-Phishing: ایمیلهای حاوی فایلهای JSE، SCR، PIF یا EXE مخفی به شکل PDF، فرمهای دولتی یا پیشنهاد شغلی
- تونلینگ با ابزارهای قانونی: استفاده از Visual Studio Code، Cloudflare Tunnels و Ngrok برای پنهان کردن زیرساخت
- استفاده از AI: کسپرسکی شواهدی یافت که Kimsuky از ابزارهای هوش مصنوعی برای تولید کد بدافزار استفاده میکند
- گسترده جغرافیایی: علاوه بر کره جنوبی، کمپینهای PebbleDash در برزیل و آلمان نیز شناسایی شد
چرا سازمانهای ایرانی باید این تهدید را جدی بگیرند؟
Kimsuky بهطور خاص سازمانهای دفاعی، انرژی و دولتی را هدف قرار میدهد. ویژگی خطرناک این گروه آن است که از سرویسهای قانونی مانند Visual Studio Code و Cloudflare برای پنهان کردن فعالیت خود استفاده میکند و بسیاری از سیستمهای امنیتی سنتی آنها را شناسایی نمیکنند.
راهکارهای کسپرسکی برای مقابله با Kimsuky
- Kaspersky Anti Targeted Attack (KATA): شناسایی حملات Spear-Phishing و بکدرهای APT در سطح شبکه
- Kaspersky EDR Optimum: شناسایی رفتار مشکوک در Endpoint از جمله استفاده غیرمجاز از VS Code
- Kaspersky MDR: نظارت تخصصی ۲۴/۷ برای شناسایی فعالیت مشکوک Kimsuky
- Kaspersky Threat Intelligence: دسترسی به IOCهای بهروز Kimsuky بهصورت لحظهای
منبع: گزارش رسمی کسپرسکی GReAT — ۱۴ می ۲۰۲۶
تماس با فدک رایان — نماینده پلاتینیوم کسپرسکی در ایران
برای دریافت مشاوره رایگان درباره محافظت از سازمان شما در برابر تهدیدات APT مانند Kimsuky با کارشناسان فدک رایان تماس بگیرید:
- 📞 تلفن: 021-752655 | 021-73094217
- 📧 ایمیل: info@fadak.co
- 🌐 وبسایت: fadak.co/تماس