Во время анализа логов стилера Lumma исследователи из компании Hudson Rock обнаружили, что вредонос заразил устройство северокорейского хакера, связанного с кражей криптовалюты на 1,4 млрд долларов с биржи Bybit. Как рассказывают специалисты, одной из найденных ими улик стали учетные данные, обнаруженные на зараженном устройстве. Среди них фигурировал email-адрес trevorgreer9312@gmail.com, который ранее в своих отчетах упоминали исследователи из компании Silent Push. Сопоставив данные с находками Silent Push, аналитики пришли к выводу, что зараженное устройство использовалось в инфраструктуре, которая связана с крупной атакой на биржу Bybit. Напомним, этот взлом произошел в феврале 2025 года, и его связывали с северокорейскими хакерами, предположительно из группировки Lazarus. Дело в том, что упомянутый email-адрес фигурировал при регистрации домена bybit-assessment.com, который создали за несколько часов до ограбления Bybit. Сайт выдавал себя за биржу и являлся частью фишинговой инфраструктуры. Хотя владелец зараженной системы, вероятно, не был напрямую причастен к самому криптоограблению, исследователи напоминают, что «правительственные» хакеры часто используют общие ресурсы, включая машины для разработки, фишинговые домены, наборы учетных данных и коммуникационную инфраструктуру. Зараженное Lumma устройство работало на базе процессора Intel Core i7 12-го поколения, имело 16 ГБ оперативной памяти, содержало установленные Visual Studio Professional 2019 и Enigma Protector. Так как Enigma обычно применяют для упаковки исполняемых файлов, чтобы обходить защиту, эксперты предположили, что обнаружили хорошо оборудованную рабочую станцию для создания малвари и управления инфраструктурой. История браузера и данные о приложениях жертвы добавили деталей. Трафик шел через американский IP с помощью Astrill VPN, однако в настройках браузера использовался упрощенный китайский язык, а история переводов включала прямые запросы на корейском языке. Также отмечается, что структура папок Dropbox намекала на то, что туда загружались украденные данные для последующего доступа. Стоит отметить, что в ноябре 2025 года в своей статье ИБ-исследователь Мауро Элдрич (Mauro Eldritch) сообщал, что северокорейские хакеры, выдававшие себя за кандидатов на должности в западных ИТ-компаниях, тоже использовали Astrill VPN для маскировки IP-адресов. Исследователи полагают, что пострадавший от Lumma хакер готовился к фишинговой атаке. Так, были куплены домены вроде callapp.us и callservice.us, а также поддомены типа zoom.callapp.us, которые использовались для обмана жертв, вынуждая их скачивать поддельное ПО или обновления. Локальный IP-адрес фальшивого установщика Zoom также вел к этой же машине. При этом нет никаких признаков того, что хакер заметил компрометацию, что дало ИБ-исследователям редкий шанс изучить, как северокорейские хакеры ведут свои операции. В Hudson Rock даже создали симулятор зараженной машины, позволяющий другим специалистам изучить софт, активность в браузере и украденные данные.
Источник: https://xakep.ru/2025/12/09/apt-machine/