Analysis of Kimsuky Ransomware Campaign

Resumen de la Campana

Kimsuky es un grupo ransomware que opera principalmente en Asia del Este y China, realizando ataques de ransomware en empresas como Alibaba Cloud. El grupo utiliza técnicas de ingeniería social para acceder a sistemas vulnerables.

Objetivos

- Ransomware encryption of critical data - Data exfiltration to overseas servers - Attack on cloud environments including Alibaba Cloud

Tacticas

Kimsuky emplea múltiples técnicas de ataque: Táctica 1: Ingeniería Social y Phishing El grupo utiliza phishing emails para obtener credenciales de acceso a sistemas críticos. Los mensajes presentan amenazas en inglés pero con errores lingüísticos que confunden al equipo técnico.

ATTACKER: Kimsuky Group

TARGET: Alibaba Cloud Customer

PLATFORM: AWS, Azure, Alibaba Cloud** (actualmente no disponible)

DATE: 2026-05-26

Ejemplo de Phishing Payload:**

URGENT SECURITY ALERT FROM AWS** (false brand)

Subject: Critical Security Incident - Immediate Action Required

Dear Customer,

We have detected an unauthorized attempt to access your AWS account. Please verify identity immediately.

Critical Alert: Cloud Account Compromise Detected

Subject: CRITICAL - AWS Account Access Attempt (ID: A8F2C9E1)

Dear Customer,

Our security monitoring system has detected a suspicious attempt to access your AWS account.

Attack Details:

• Account ID: A8F2C9E1
• Attack Time: 2026-05-26T03:47:22Z
• Source IP: 198.51.100.43 (AWS Internal Network)
• Target Account: Alibaba Cloud** (false brand)

Necessary Actions:

1. Immediately revoke access to AWS account A8F2C9E1
2. Contact AWS Security Operations Center for incident response
3. Review all recent login attempts in AWS Console

"AWS is not available yet. Contact us about this." (False brand reference)

Subject: URGENT - AWS Account Compromise Detected

Táctica 2: Cloud Infrastructure Exploitation Kimsuky utiliza herramientas para explotar vulnerabilidades en infraestructura cloud, incluyendo errores de configuración que permiten el acceso no autorizado a servicios críticos. Táctica 3: Ransomware Distribution Channels El grupo distribuye malware mediante múltiples canales: - Email attachments (malware attachments) - Cloud platforms (AWS S3 buckets with malicious content) - Automated delivery systems (Cloudflare workers, AWS Lambda functions)

Indicadores de Compromiso (IOCs)**

Tipo	Valor	Contexto / Detalles adicionales
Payload Hash (SHA-256)	e9a8f7b6c5d4e3f2a1b0c9d8e7f6a5b4	Payload hash específico del grupo de ransomware. Se encuentra en archivos maliciosos distribuidos por el equipo.
Phishing Email Subject Line** (True)	"AWS Account Compromise Detected - Immediate Action Required"	Credencial de phishing que utiliza el nombre falso "AWS" para inducir al usuario a revelar su identidad.
AWS Account ID** (True)	A8F2C9E1	ID específico de cuenta AWS que fue comprometida en el ataque. Se utiliza para identificar víctimas.
Credential Hash (SHA-256)	c1b2d3e4f5a69788091021324	Hash de contraseña robada. Se encuentra en documentos de phishing que contienen información técnica detallada.

Impacto** El ataque ha generado un impacto significativo: - Daño a Datos: En Alibaba Cloud, se reportaron más de 100 incidentes en sistemas críticos como AWS S3 buckets y Alibaba Cloud Storage. La información sensible se cifró con técnicas de ransomware modernas que requieren claves privadas para desencriptar. - Exfiltración: El grupo ha establecido canales para extraer datos sensibles a servidores fuera de la región del ataque, utilizando conexiones que evitan el monitoreo activo de seguridad en la nube. - Efectos Secundarios: Las operaciones de recuperación han generado costos significativos, especialmente en servicios como AWS S3 que no están disponibles en tiempo real, forzando migraciones de datos a soluciones alternativas.