TechNews
Observatory
Article

We Dumped a Live Kimsuky C2 and Recovered Every Stage of the Kill Chain: CHM Dropper, VBScript Stager, PowerShell Keylogger - Breakglass IntelligenceKimsuky 犯罪団体が 2026 年 4 月に公開した CHM ファイルから、完全な攻撃キルチェーンのソースコードを解明。

unpinnedSecurity-Global
https://intel.breakglass.tech/post/kimsuky-chm-nidlog-c2-dump-full-payload-recovery
Summary
analysis llm/ollama(qwen3.5:4B) / 46s
published 2026-04-11 18:02 JST
Sources
Reddit / r/blueteamsec
Analysis Tags
bootservice-phpcheck-nid-log-comkillchainkimsukynid-log-compowershellvbscript
Manual Tags
none
Reading

Article Notes

要点
  • Kimsuky 犯罪団体が 2026 年 4 月に公開した CHM ファイルから、完全な攻撃キルチェーンのソースコードを解明。
  • リコナISSA ステージ、パワーシェルブライジャーステージ、およびキーロガー ステージの全 3 段階を包含するコードが復元され、C2 サーバーのアップグレードも確認。
  • 韓国 VPS プロバイダと共有サブネットを持つ 79 ドメイン以上のインフラ図が公開され、同グループの相次ぐキャンペーンとの関連性が示唆される。
重要性

これは、セキュリティ業界に公開された Kimsuky の攻撃ツールソースコードの最も包括的な事例であり、検知 IOC とインフラマッピングの進展を促進する。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

新しい前提を作りうる動きで、今後の判断軸そのものを変える可能性があります。早めに押さえておくことで、次に何が標準になるかを読み違えにくくなります。

Context

単体のニュースよりも、前提や周辺事情を揃えて読むことで意味が立ち上がる話題です。すぐの結論より、運用や判断の文脈を整えるために押さえておく価値があります。