{ "id": "86c59ec7-8ab6-4d82-83a4-beb679988b90", "created_at": "2026-04-06T00:21:59.391464Z", "updated_at": "2026-04-10T03:37:40.63381Z", "deleted_at": null, "sha1_hash": "0e66b286c27991dbe72ed66aa46affc126fa5c44", "title": "국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드 - ASEC", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2742724, "plain_text": "국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드 - ASEC\r\nBy ATCP\r\nPublished: 2023-09-05 · Archived: 2026-04-05 19:08:38 UTC\r\nBlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체\r\n제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서\r\nBlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는\r\n제작자가 중국어 사용자일 가능성을 보여준다.\r\nFigure 1. 깃허브에 공개되어 있는 BlueShell\r\nBlueShell이 공격에 사용된 것으로 알려진 사례는 SparkRAT이나 Sliver C2 등 깃허브에 공개되어 있는 다\r\n른 악성코드들과 달리 많지 않다. 하지만 실제 국내 공격 사례들을 확인해 보면 다양한 공격자들이\r\nBlueShell을 꾸준히 공격에 사용하고 있는 것이 눈에 띈다.\r\nAhnLab Security Emergency response Center(ASEC)에서는 BlueShell을 이용한 APT 공격 사례를 모니터링하\r\n고 있으며, 여기에서는 BlueShell이 사용된 APT 공격 사례를 정리한다. 직접 확인된 공격 사례들은 주로 국\r\n내 기업의 윈도우 시스템을 대상으로 한 사례들이다. 하지만 리눅스 시스템을 대상으로 한 공격들 중에는\r\n국내뿐만 아니라 태국 방송사를 대상으로 하는 것으로 추정되는 사례들도 확인된다.\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 1 of 10\n\n1. BlueShell\r\nBlueShell의 대표적인 특징들 중 하나는 Go 언어로 제작되었다는 점이다. Go 언어는 개발 난이도가 낮고\r\n크로스 플랫폼을 지원하는 등 여러 가지 장점들 때문에 프로그램뿐만 아니라 악성코드 제작에도 많이 사\r\n용되고 있다. 과거 국내 VPN 설치 파일에 포함되었던 SparkRAT 공격 사례나 [1] 중국에서 제작한 원격 제\r\n어 유틸리티인 Sunlogin의 취약점 공격 사례에서 사용된 Sliver C2 [2] 모두 Go 언어로 개발되어 깃허브에\r\n공개되어 있는 악성코드들이다. 이뿐만 아니라 APT 위협 그룹에서도 악성코드 제작에 Go 언어를 사용하\r\n는 사례가 늘어나고 있는데, Kimsuky 위협 그룹에서는 Meterpreter를 설치하는 다운로더 악성코드를 Go 언\r\n어로 개발하였으며, [3] RedEyes (APT37) 위협 그룹에서는 Ably 서비스를 악용하는 백도어를, [4] Andariel\r\n위협 그룹에서는 1th Troy 리버스 셸, Black RAT, Goat RAT, Durian Beacon 등 다양한 악성코드들을 Go 언어\r\n로 개발하였다. [5]\r\n기능 상으로 보면 단순한 형태의 백도어인 BlueShell은 C\u0026C 서버와의 통신에 TLS 암호화를 지원하여 네\r\n트워크 탐지를 우회한다. 공격자의 명령을 받아 수행할 수 있는 기능들로는 원격 명령 실행, 파일 다운로\r\n드 / 업로드, Socks5 프록시가 있다.\r\n명령 기능\r\nshell 명령 실행\r\nupload 파일 업로드\r\ndownload 파일 다운로드\r\nsocks5 Socks5 프록시\r\nTable 1. BlueShell이 지원하는 명령\r\nFigure 2. BlueShell이 지원하는 명령\r\nBlueShell은 3개의 설정 데이터를 가지고 있는데 C\u0026C 서버의 IP 주소, Port 번호 그리고 대기 시간이다. 일\r\n반적으로 악성코드 제작 시 바이너리에 하드코딩되어 있으며 init() 함수에서 설정 데이터들에 대한 초기\r\n화 과정을 진행한다.\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 2 of 10\n\nFigure 3. BlueShell이 사용하는 설정 데이터\r\n2. Windows 버전\r\n2.1. 달빗 위협 그룹 공격 사례\r\n달빗 그룹은 중국을 기반으로 한 위협 그룹으로서 주로 취약한 서버들을 대상으로 공격하여 기업의 내부\r\n자료가 포함된 정보를 탈취하거나 시스템을 암호화하여 금전을 요구하는 것이 목적이다. [6] 공격 대상은\r\n주로 부적절하게 관리되거나 최신 버전으로 패치되지 않은 윈도우 웹 서버로서 이외에도 메일 서버나\r\nMS-SQL 데이터베이스 서버를 대상으로 한 공격 사례도 확인된다.\r\n달빗 그룹은 초기 침투 단계부터 권한 상승, 내부 정찰, 측면 이동을 거쳐 목적을 달성할 때까지 대부분의\r\n과정에서 공개된 도구들을 공격에 사용하는 것이 특징이다. 실제 명령 및 제어 단계에서 사용하는 악성코\r\n드들도 CobaltStrike, Metasploit, Ladaon, BlueShell 등 모두 외부에 공개되어 있는 도구들이다.\r\n여기에서는 다양한 공격 사례들 중에서 BlueShell이 공격 과정에서 수집된 사례를 다룬다. 공격자가 실제\r\n공격에서 BlueShell을 사용하였는지는 확인되지 않지만 공격 과정에서 원본 소스 코드의 기본 C\u0026C 서버\r\n주소로 설정된 BlueShell 악성코드가 수집되었다. 수집된 파일은 x86, x64 아키텍처이며 바이너리에 포함\r\n된 소스 코드 정보와 VirusTotal에 수집된 시간을 통해 해당 파일들이 공격자가 사용하는 공격 도구 모음에\r\n포함되어 있었을 것으로 추정된다.\r\n/root/pentesttools/BlueShell/client.go\r\n달빗 공격 그룹은 웹 서버 대상 공격에서 주로 WebLogic 취약점이나 파일 업로드 취약점을 공격해 웹셸을\r\n업로드하는 방식을 사용한다. 해당 공격 사례에서도 다양한 JSP 웹셸 파일들이 확인되었다.\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 3 of 10\n\nFigure 4. 공격에 사용된 JSP 웹셸들\r\n공격자는 내부 정찰 과정에서 Lsass 덤프 도구를 이용해 자격 증명 정보를 탈취하였으며, 내부 네트워크를\r\n스캐닝하기 위해 fscan 도구를 사용하였다. 수집한 정보들은 Impacket 도구를 이용한 측면 이동 과정에서\r\n사용되었을 것으로 추정된다.\r\n달빗 위협 그룹의 가장 큰 특징은 프록시 도구로서 FRP(Fast Reverse Proxy)를 사용한다는 점이다. 공격 과\r\n정에서는 Frpc 도구와 설정 파일 그리고 또 다른 프록시 도구인 Venom이 [7] 사용되었다.\r\nFigure 5. 수집된 Frpc 설정 파일\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 4 of 10\n\n2.2. 국내 기업 대상 공격 사례\r\n비록 위의 사례는 공격 과정에서 정상적으로 BlueShell을 이용한 사례는 아니지만 이후 국내 기업을 대상\r\n으로 한 공격에서 BlueShell이 사용된 사례가 확인되었다. 연관 정보가 부족하여 최초 유입 경로나 이전 달\r\n빗 그룹과 동일한 공격자인지는 확인할 수 없지만 BlueShell과 Frpc가 공격에 함께 사용된 점이 특징이다.\r\n바이너리에 포함된 소스 코드 정보를 보면 공격자가 윈도우 환경에서 BlueShell을 제작한 것으로 추정된\r\n다. 공격 과정에서는 2개의 BlueShell이 확인되었는데 모두 동일한 C\u0026C 서버와 통신하지만 하나는 난독화\r\n된 형태이다.\r\nD:/skens/SK/BlueShell-master/client.go\r\n공격에 사용된 Frpc 또한 난독화되어 있으며 기본적인 형태의 Frpc가 아닌 공격자가 직접 커스터마이징한\r\n형태이다. 일반적으로 Frpc는 파일 형태의 설정 데이터를 읽어와 사용하는데 공격에 사용된 Frpc는 암호화\r\n된 설정 데이터를 실행 중 메모리 상에 복호화하여 사용한다.\r\nFigure 6. 바이너리에 포함되어 있는 Frpc 설정 데이터\r\n3. Linux 버전\r\n3.1. 국내 및 태국 대상 추정 공격 사례\r\nGo 언어로 개발된 BlueShell은 크로스 플랫폼을 지원하며 이에 따라 윈도우 환경뿐만 아니라 리눅스 환경\r\n에서도 동작할 수 있다. ASEC에서는 리눅스 환경을 대상으로 하는 BlueShell을 모니터링하던 중\r\nVirusTotal에서 커스터마이징된 형태의 BlueShell을 확인하였다. 해당 악성코드들이 대한민국과 태국에서\r\nVirusTotal에 업로드되었던 것을 보면 두 곳이 공격 대상이었던 것으로 추정된다.\r\n공격자는 먼저 드로퍼(Dropper) 악성코드를 제작하였으며 이를 이용해 BlueShell을 설치하였다. 드로퍼는\r\n일반적인 드로퍼처럼 BlueShell을 생성하고 실행하는 기능을 담당하지만 실행 시 “lgdt”라는 이름의 환경\r\n변수를 설정하고 실행하는 점이 차이점이다. 생성된 BlueShell은 “lgdt” 환경 변수를 구해 복호화한 후\r\nC\u0026C 서버 주소로 사용한다. 이에 따라 BlueShell 단독으로는 C\u0026C 서버의 주소를 확인할 수 없다는 특징이\r\n있다.\r\nA. 드로퍼 분석\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 5 of 10\n\n드로퍼는 실행 과정에서 내부 .data 섹션에 암호화된 형태로 저장된 BlueShell을 0x63 키로 Xor하여 복호화\r\n한다. 복호화 된 데이터는 압축된 형태이며 이를 압축 해제하고 “/tmp/kthread” 경로에 생성한다.\r\nFigure 7. 드로퍼의 메인 루틴\r\nBlueShell 악성코드인 “/tmp/kthread”를 실행한 이후에는 삭제하기 때문에 BlueShell은 메모리 상에서만 동\r\n작하게 된다. 드로퍼는 이외에도 두 가지 특징이 존재하는데 하나는 BlueShell을 실행할 때 인자로\r\n“/sbin/rpcd”를 전달하여 실행 중인 프로세스의 이름을 “/sbin/rpcd”로 위장한다는 점이다. 이에 따라 ps 명령\r\n이나 “/proc/[pid]/cmdline”에서는 위장 프로세스 이름이 확인된다.\r\nFigure 8. 변경된 프로세스 이름\r\n이외에도 생성한 BlueShell을 실행할 때 환경 변수 “lgdt”를 설정하고 실행하는 것이 특징이다. 즉\r\nsys_execve 시스템 호출의 인자로 “lgdt” 환경 변수 “MjAuMjE0LjIwMS4xNjYgNDQzIDE1”가 전달되며 이\r\n에 따라 실행되는 자식 프로세스 BlueShell도 해당 환경 변수를 전달받게 된다.\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 6 of 10\n\nFigure 9. 실행 시 전달하는 lgdt 환경  변수\r\nB. 커스터마이징 된 BlueShell 분석\r\n공격에 사용된 BlueShell은 기본적인 기능은 동일하지만 몇 가지 특징이 존재한다. C\u0026C 서버 주소나 포트\r\n번호 등 설정 데이터가 바이너리에 존재하는 대신 특정 환경 변수를 읽어 복호화하여 구한다는 점이 그것\r\n이다. 위의 사례에서 드로퍼 악성코드는 환경 변수 “lgdt”를 설정하고 BlueShell을 실행하였으며 이에 따라\r\n환경 변수가 상속되었다. BlueShell은 환경 변수 “lgdt”를 Base64 복호화한 후 이를 설정 데이터로 사용한\r\n다.\r\nFigure 10. 환경 변수를 복호화하여 설정 데이터로 사용하는 루틴\r\n위에서 다룬 국내 공격 사례에서는 Base64 복호화 이후 3개의 인자가 확인되며 각각 C\u0026C 서버의 주소, 포\r\n트 번호, 대기 시간이다.\r\n복호화된 환경 변수 : 20.214.201[.]166 443 15\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 7 of 10\n\n태국에서 업로드된 BlueShell은 “/tmp/.ICECache” 경로에 생성되며 환경 변수를 복호화하면 4개의 데이터\r\n가 확인된다. 세 번째까지의 설정 데이터는 동일하며 네 번째는 감염 시스템을 구분하는 데 사용된다. 커\r\n스터마이징된 BlueShell은 hostname() 함수를 이용해 현재 동작 중인 시스템의 호스트 이름을 구한 후 4번\r\n째 데이터와 비교하여 동일한 경우에만 동작한다.\r\n감염 시스템의 호스트 이름만으로 공격 대상을 특정하는 데에는 한계가 있지만 복호화 된 문자열의 호스\r\n트 이름은 태국의 방송사들 중 하나의 이름과 동일하다. VirusTotal에 업로드한 국가와 악성코드가 사용하\r\n는 감염 시스템 조건을 보면 해당 공격 그룹은 태국을 대상으로 APT 공격을 수행한 것으로 추정된다.\r\nFigure 11. 복호화된 환경 변수\r\n인자 설명\r\n#1 C\u0026C 서버 주소\r\n#2 C\u0026C 서버 포트 번호\r\n#3 대기 시간\r\n#4 동작하는 환경 조건\r\nTable 2. 커스터마이징된 BlueShell의 설정 데이터\r\n참고로 국내 공격 사례와 태국 공격 사례에서 사용된 BlueShell은 모두 1.18.4 버전의 Go 언어 환경으로 빌\r\n드 되었으며, 다음과 같은 소스 코드 정보를 통해 최소한 2022년 9월부터 공격을 진행하고 있었을 것으로\r\n추정된다.\r\nVirusTotal 업\r\n로드 위치\r\nVirusTotal 업\r\n로드 시간\r\n소스 코드 정보\r\nGo 버\r\n전\r\n태국\r\n2022-09-01\r\n02:51:45 UTC\r\n/home/User/Desktop/client/main.go 1.18.4\r\n대한민국\r\n2023-02-08\r\n15:47:26 UTC\r\n/home/User/Desktop/20221209/client/main.go 1.18.4\r\n대한민국\r\n2023-03-07\r\n05:11:53 UTC\r\n/home/User/Desktop/20230202/client/main.go 1.18.4\r\nTable 3. 공격 사례 분석\r\n4. 결론\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 8 of 10\n\nBlueShell은 백도어 악성코드로서 감염 시스템에서 공격자의 명령을 받아 명령 실행, 파일 다운로드 / 업로\r\n드, Socks5 프록시 등의 기능을 수행할 수 있다. Go 언어로 개발됨에 따라 윈도우 환경뿐만 아니라 리눅스\r\n환경도 공격 대상이 될 수 있다. 또한 깃허브에 오픈 소스로 공개됨에 따라 다양한 공격자들이 공격에 사\r\n용하고 있다.\r\n이와 같은 보안 위협을 방지하기 위해서는 취약한 환경 설정을 검사하고, 관련 시스템들을 항상 최신 버전\r\n으로 업데이트하여 공격으로부터 보호해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감\r\n염을 사전에 차단할 수 있도록 신경 써야 한다.\r\n파일 진단\r\n– WebShell/JSP.Chopper.SC183868 (2022.10.15.01)\r\n– WebShell/JSP.Godzilla.S1719 (2021.12.03.00)\r\n– WebShell/JSP.Generic.S1363 (2021.01.27.03)\r\n– Backdoor/Win.BlueShell.C5272202 (2022.10.05.00)\r\n– Trojan/Win.BlueShell.C5280704 (2022.10.15.01)\r\n– Trojan/Win.ReverseShell.C5417728 (2023.04.25.00)\r\n– Trojan/Win.ReverseShell.C5417729 (2023.04.25.00)\r\n– Trojan/Win.FRP.C5417731 (2023.04.25.00)\r\n– HackTool/Win.Frpc.R543073 (2022.12.21.03)\r\n– HackTool/Win.Frpc.R543073 (2022.12.21.03)\r\n– HackTool/Script.Frpc (2022.12.17.00)\r\n– HackTool/Win.Fscan.C5230904 (2022.10.08.00)\r\n– HackTool/Win.Fscan.C5272189 (2022.10.05.00)\r\n– HackTool/Win.Lsassdump.R524859 (2022.10.05.00)\r\n– HackTool/Win.ProxyVenom.C5280699 (2022.10.15.01)\r\n– HackTool/Win.impacket.C4777703 (2021.11.19.03)\r\n– Dropper/Linux.BlueShell.2904696 (2023.09.04.02)\r\n– Dropper/Linux.BlueShell.2888120 (2023.09.04.02)\r\n– Trojan/Linux.BlueShell.XE216 (2023.02.20.03)\r\nMD5\r\n011cedd9932207ee5539895e2a1ed60a\r\n1a0c704611395b53f632d4f6119ed20c\r\n21c7b2e6e0fb603c5fdd33781ac84b8f\r\n2ed0a868520c31e27e69a0ab1a4e690d\r\n30fe6a0ba1d77e05a19d87fcf99e7ca5\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 9 of 10\n\nhttp[:]//121[.]127[.]241[.]117[:]20001/\r\nhttp[:]//lt[.]yxavkb[.]xyz/\r\nhttps[:]//20[.]214[.]201[.]166/\r\nhttps[:]//202[.]87[.]223[.]124/\r\nhttps[:]//aa[.]zxcss[.]com/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nSource: https://asec.ahnlab.com/ko/56715/\r\nhttps://asec.ahnlab.com/ko/56715/\r\nPage 10 of 10", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://asec.ahnlab.com/ko/56715/" ], "report_names": [ "56715" ], "threat_actors": [ { "id": "838f6ced-12a4-4893-991a-36d231d96efd", "created_at": "2022-10-25T15:50:23.347455Z", "updated_at": "2026-04-10T02:00:05.295717Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "Andariel", "Silent Chollima", "PLUTONIUM", "Onyx Sleet" ], "source_name": "MITRE:Andariel", "tools": [ "Rifdoor", "gh0st RAT" ], "source_id": "MITRE", "reports": null }, { "id": "6f30fd35-b1c9-43c4-9137-2f61cd5f031e", "created_at": "2025-08-07T02:03:25.082908Z", "updated_at": "2026-04-10T02:00:03.744649Z", "deleted_at": null, "main_name": "NICKEL FOXCROFT", "aliases": [ "APT37 ", "ATK4 ", "Group 123 ", "InkySquid ", "Moldy Pisces ", "Operation Daybreak ", "Operaton Erebus ", "RICOCHET CHOLLIMA ", "Reaper ", "ScarCruft ", "TA-RedAnt ", "Venus 121 " ], "source_name": "Secureworks:NICKEL FOXCROFT", "tools": [ "Bluelight", "Chinotto", "GOLDBACKDOOR", "KevDroid", "KoSpy", "PoorWeb", "ROKRAT", "final1stpy" ], "source_id": "Secureworks", "reports": null }, { "id": "110e7160-a8cc-4a66-8550-f19f7d418117", "created_at": "2023-01-06T13:46:38.427592Z", "updated_at": "2026-04-10T02:00:02.969896Z", "deleted_at": null, "main_name": "Silent Chollima", "aliases": [ "Onyx Sleet", "PLUTONIUM", "OperationTroy", "Guardian of Peace", "GOP", "WHOis Team", "Andariel", "Subgroup: Andariel" ], "source_name": "MISPGALAXY:Silent Chollima", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "bbe36874-34b7-4bfb-b38b-84a00b07042e", "created_at": "2022-10-25T15:50:23.375277Z", "updated_at": "2026-04-10T02:00:05.327922Z", "deleted_at": null, "main_name": "APT37", "aliases": [ "APT37", "InkySquid", "ScarCruft", "Group123", "TEMP.Reaper", "Ricochet Chollima" ], "source_name": "MITRE:APT37", "tools": [ "BLUELIGHT", "CORALDECK", "KARAE", "SLOWDRIFT", "ROKRAT", "SHUTTERSPEED", "POORAIM", "HAPPYWORK", "Final1stspy", "Cobalt Strike", "NavRAT", "DOGCALL", "WINERACK" ], "source_id": "MITRE", "reports": null }, { "id": "552ff939-52c3-421b-b6c9-749cbc21a794", "created_at": "2023-01-06T13:46:38.742547Z", "updated_at": "2026-04-10T02:00:03.08515Z", "deleted_at": null, "main_name": "APT37", "aliases": [ "Operation Daybreak", "Red Eyes", "ScarCruft", "G0067", "Group123", "Reaper Group", "Ricochet Chollima", "ATK4", "APT 37", "Operation Erebus", "Moldy Pisces", "APT-C-28", "Group 123", "InkySquid", "Venus 121" ], "source_name": "MISPGALAXY:APT37", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "bc6e3644-3249-44f3-a277-354b7966dd1b", "created_at": "2022-10-25T16:07:23.760559Z", "updated_at": "2026-04-10T02:00:04.741239Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "APT 45", "Andariel", "G0138", "Jumpy Pisces", "Onyx Sleet", "Operation BLACKMINE", "Operation BLACKSHEEP/Phase 3.", "Operation Blacksmith", "Operation DESERTWOLF/Phase 3", "Operation GHOSTRAT", "Operation GoldenAxe", "Operation INITROY/Phase 1", "Operation INITROY/Phase 2", "Operation Mayday", "Operation VANXATM", "Operation XEDA", "Plutonium", "Silent Chollima", "Stonefly" ], "source_name": "ETDA:Andariel", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "a2b92056-9378-4749-926b-7e10c4500dac", "created_at": "2023-01-06T13:46:38.430595Z", "updated_at": "2026-04-10T02:00:02.971571Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Operation DarkSeoul", "Bureau 121", "Group 77", "APT38", "NICKEL GLADSTONE", "G0082", "COPERNICIUM", "Moonstone Sleet", "Operation GhostSecret", "APT 38", "Appleworm", "Unit 121", "ATK3", "G0032", "ATK117", "NewRomanic Cyber Army Team", "Nickel Academy", "Sapphire Sleet", "Lazarus group", "Hastati Group", "Subgroup: Bluenoroff", "Operation Troy", "Black Artemis", "Dark Seoul", "Andariel", "Labyrinth Chollima", "Operation AppleJeus", "COVELLITE", "Citrine Sleet", "DEV-0139", "DEV-1222", "Hidden Cobra", "Bluenoroff", "Stardust Chollima", "Whois Hacking Team", "Diamond Sleet", "TA404", "BeagleBoyz", "APT-C-26" ], "source_name": "MISPGALAXY:Lazarus Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "771d9263-076e-4b6e-bd58-92b6555eb739", "created_at": "2025-08-07T02:03:25.092436Z", "updated_at": "2026-04-10T02:00:03.758541Z", "deleted_at": null, "main_name": "NICKEL HYATT", "aliases": [ "APT45 ", "Andariel", "Dark Seoul", "Jumpy Pisces ", "Onyx Sleet ", "RIFLE Campaign", "Silent Chollima ", "Stonefly ", "UN614 " ], "source_name": "Secureworks:NICKEL HYATT", "tools": [ "ActiveX 0-day", "DTrack", "HazyLoad", "HotCriossant", "Rifle", "UnitBot", "Valefor" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434919, "ts_updated_at": 1775792260, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/0e66b286c27991dbe72ed66aa46affc126fa5c44.pdf", "text": "https://archive.orkl.eu/0e66b286c27991dbe72ed66aa46affc126fa5c44.txt", "img": "https://archive.orkl.eu/0e66b286c27991dbe72ed66aa46affc126fa5c44.jpg" } }