The Double Life of SectorA05 Nesting in Agora (Operation Kitty Phishing)

2019-01-30 NSHC

https://redalert.nshc.net/2019/01/30/operation-kitty-phishing/

Thumbnail for The Double Life of SectorA05 Nesting in Agora (Operation Kitty Phishing)

SectorA05 used Operation Kitty Phishing to target 77 reporters covering South Korea’s Unification Ministry with malware-laden email in January 2019, while also running credential-phishing campaigns against South Korean central government, unification, diplomacy, defense, cryptocurrency exchange, and individual targets. The infection chain used password-protected archives, disguised HWP-themed executables, WSF scripts, and two RAT paths: a DLL-based downloader for Freedom.dll and a script-based RAT registered for persistence under an AhnLab-themed registry value. The malware relied on Google Drive to host payloads or C2 configuration and used infrastructure including my-homework.890m[.]com and ago2[.]co[.]kr, with infection progress logging, command retrieval, upload/download functions, and selective Cobra_[MAC Address] payload delivery. The report links these techniques to information theft and cryptocurrency-focused objectives, making the campaign relevant for defenders tracking South Korea-focused DPRK tradecraft and long-lived C2 reuse.

Indicators of Compromise

Type Value First Seen Last Seen
DOMAIN my-homework.890m.com 2019-01-30 2020-11-12
HASH 84edc9b828de54d4bd00959fabf583a… 2019-01-30 2020-03-09
HASH c6c332ae1ccb580ac621d3cf667ce9c… 2019-01-30 2020-03-09
HASH d62bf83fb5a7b148f326908051b149b… 2019-01-30 2020-03-09
DOMAIN gyjmc.com 2019-01-30 2019-10-04
DOMAIN kuku675.site11.com 2019-01-30 2019-06-10
DOMAIN kuku79.herobo.com 2019-01-30 2019-06-10
DOMAIN jejuseongahn.org 2019-01-30 2019-06-10
DOMAIN ago2.co.kr 2019-01-30 2019-06-10
EMAIL [email protected] 2019-01-30 2019-03-04
HASH 12ee511259f7f03e8472efa8baf3e25… 2019-01-30 2019-01-30
HASH 95f1a84103f789d1ae749a3f8a384a2… 2019-01-30 2019-01-30
HASH f64ec976e9930425009da79c7aa081ac 2019-01-30 2019-01-30
HASH 5f2ac8672e19310bd532c47d209272b… 2019-01-30 2019-01-30
HASH 56c1d749947d0fe00fe0abc84bc8a02b 2019-01-30 2019-01-30
HASH cb87f1468d139930d9afcba7f3acabb4 2019-01-30 2019-01-30
HASH b20a82932f459278d44058adbf3113f… 2019-01-30 2019-01-30
HASH 03cd82887b032ce2968bb739d13e1dd… 2019-01-30 2019-01-30
HASH 12ee511259f7f03e8472efa8baf3e250 2019-01-30 2019-01-30
HASH fce7a02f4ca7bdab7fdb8168a2478e5… 2019-01-30 2019-01-30
HASH 97f6f31e3b53d36378033f6ba72ddc29 2019-01-30 2019-01-30
HASH 051bc852ed4d1e4bd44030d6bf3187d0 2019-01-30 2019-01-30
HASH 159b20e19c43ff6a8ba906d23596d5d… 2019-01-30 2019-01-30
HASH 8573d9008cca956a8f8b9a46ed7880b… 2019-01-30 2019-01-30
HASH 59203b2253e5a53a146c583ac1ab8dc… 2019-01-30 2019-01-30
HASH 098dd6d2556fa546132570795a9b901… 2019-01-30 2019-01-30
HASH f070768ba2d0091b66e2a15726e7716… 2019-01-30 2019-01-30
HASH bbfc7578f6d18c7d139e2a9b4e8dd74… 2019-01-30 2019-01-30
HASH f66e8851285f15a6af8f25178180ae9… 2019-01-30 2019-01-30
HASH 59283e60015923ab16f51dcb2935015… 2019-01-30 2019-01-30
HASH 028abdf89dc34088c2935e972a97f2d… 2019-01-30 2019-01-30
HASH 623458ffccbc4641a78914dcf9efdd7… 2019-01-30 2019-01-30
HASH 58dc45c15d17c609f5237abf9a6d0a8… 2019-01-30 2019-01-30
HASH b4bd3c50a5d7a7102a7e723f4b742f5… 2019-01-30 2019-01-30
HASH 71841a1b5ee1b383a9282bf513723b7… 2019-01-30 2019-01-30
HASH 98e1cc1b96b420ece848a2b43a0c1ae… 2019-01-30 2019-01-30
HASH b64f8da65fe71212cedfdac887f503f4 2019-01-30 2019-01-30
HASH 38368ada36a1d98bbc55408e26a2219… 2019-01-30 2019-01-30
HASH 08ac5048e86d368eea55d55781659dc… 2019-01-30 2019-01-30
HASH 56c1be63947d08b00fe0f2e84bc8ab82 2019-01-30 2019-01-30
HASH 9898a3669c457aa9ab56bd25d26d0a9… 2019-01-30 2019-01-30
HASH 828f828a4c7b098786a0b719c4cecbb… 2019-01-30 2019-01-30
HASH 575606c03d3775cd8880c76a3ef7c01… 2019-01-30 2019-01-30
HASH 177c404e7e60e48f303509592ecd0e29 2019-01-30 2019-01-30
HASH b20a82932f459278d44058adbf3113fb 2019-01-30 2019-01-30
HASH e18ea5dcf830c1f7515be7610c34c44… 2019-01-30 2019-01-30
HASH fce7a02f4ca7bdab7fdb8168a2478e58 2019-01-30 2019-01-30
HASH 55e69e1337af0d93b5a3742d999bf80… 2019-01-30 2019-01-30
HASH 493aadefcf45642c34b4d84a84a41da… 2019-01-30 2019-01-30
HASH 98a12699bd8f5c886f4b40ddee5a9ab… 2019-01-30 2019-01-30
HASH 48ba9d01f1fba5421e8bfbdd384a3849 2019-01-30 2019-01-30
HASH 891c2b7a374063ea4e7f2693906b9c5… 2019-01-30 2019-01-30
HASH 8f06cfe7b7fd3cec439dfe975c7ef51… 2019-01-30 2019-01-30
HASH 7603be6e20fdf1338f5de8660b866a7… 2019-01-30 2019-01-30
HASH 2c7a76c85a182bf4045afe2180d1d84… 2019-01-30 2019-01-30
HASH 2a25d42130837560fcff1e1e19264f0… 2019-01-30 2019-01-30
HASH 916bbd3e7930557f7d8f92f27cceb5fe 2019-01-30 2019-01-30
HASH 860b3a252226dea43cba5ea52f094c4… 2019-01-30 2019-01-30
HASH ea1d4ce3f4a9a70670e67d69a36e5e6… 2019-01-30 2019-01-30
HASH 9481b2f26f6c8a8fa6dc509f925e6da… 2019-01-30 2019-01-30
HASH 7603be6e20fdf1338f5de8660b866a7d 2019-01-30 2019-01-30
HASH d9746224143010adada9989bf6b1014… 2019-01-30 2019-01-30
HASH d96f350c206b2d987c7b39daed7c81b… 2019-01-30 2019-01-30
HASH d992c84902992867a6dfc9caf4d80f2… 2019-01-30 2019-01-30
HASH e7a314ac40b266415da32645f4bdeda… 2019-01-30 2019-01-30
HASH 55e69e1337af0d93b5a3742d999bf805 2019-01-30 2019-01-30
HASH 8719218fc45939cf55e3e2d66d83769… 2019-01-30 2019-01-30
HASH 5bfa034f7555a38e64c078af71b4ff8… 2019-01-30 2019-01-30
HASH f070768ba2d0091b66e2a15726e77165 2019-01-30 2019-01-30
HASH 48ba9d01f1fba5421e8bfbdd384a384… 2019-01-30 2019-01-30
HASH 8573d9008cca956a8f8b9a46ed7880b4 2019-01-30 2019-01-30
HASH c87f4aeebd3f518ba30780cb9b8b554… 2019-01-30 2019-01-30
HASH 71435327e8e0ea42b2e143b410a99d7b 2019-01-30 2019-01-30
HASH 74d6b81565aeb95ee9df37ef7738d10… 2019-01-30 2019-01-30
HASH 0ba05db51dfb118f82a38afaca2174a… 2019-01-30 2019-01-30
HASH 5f05c1dffda819f082a1df8cc81faa7… 2019-01-30 2019-01-30
HASH 2b8a31c6a2a70ad4b5c593400731b41… 2019-01-30 2019-01-30
HASH f483d5051f39d1b08613479ccbc8142… 2019-01-30 2019-01-30
HASH 2c523736994639172ee7375a8e13920… 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL protector.privacy.master@gmail.… 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL protect.privacy.accounnt@gmail.… 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
EMAIL [email protected] 2019-01-30 2019-01-30
URL http://kuku79.herobo.com/data/p… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/gnu… 2019-01-30 2019-01-30
URL http://nid-mail.esy.es/bbs/data… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://nid-mail.esy.es/bbs/data… 2019-01-30 2019-01-30
URL http://ago2.co.kr/bbs/data/dir/… 2019-01-30 2019-01-30
URL http://acount-qooqle.pe.hu 2019-01-30 2019-01-30
URL http://www.jejuseongahn.org/hbo… 2019-01-30 2019-01-30
URL http://ago2.co.kr/bbs/data/R.php 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://ago2.co.kr/bbs/data/dir/… 2019-01-30 2019-01-30
URL http://ago2.co.kr/bbs/data/dir/… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://safe-naver-mail.pe.hu/Es… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/gnu… 2019-01-30 2019-01-30
URL http://safe-naver-mail.pe.hu/Es… 2019-01-30 2019-01-30
URL http://nid-mail.esy.es/bbs/data… 2019-01-30 2019-01-30
URL http://nid-mail.esy.es/bbs/data… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://kuku675.site11.com/data/… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://nid-mail.esy.es/bbs/data… 2019-01-30 2019-01-30
URL http://myacccounts-goggle.hol.es 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/gnu… 2019-01-30 2019-01-30
URL http://qqoqle-centering.esy.es 2019-01-30 2019-01-30
URL http://my-homework.890m.com/gnu… 2019-01-30 2019-01-30
URL http://suppcrt-seourity.esy.es/… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://ahnniab.esy.es/w/b.js 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://safe-naver-mail.pe.hu/Es… 2019-01-30 2019-01-30
URL http://www.gyjmc.com/board/data… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://ago2.co.kr/bbs/data/F.php 2019-01-30 2019-01-30
URL http://aiyac-updaite.hol.es/Est… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
URL http://my-homework.890m.com/bbs… 2019-01-30 2019-01-30
DOMAIN qqoqle-centering.esy.es 2019-01-30 2019-01-30
DOMAIN suppcrt-seourity.esy.es 2019-01-30 2019-01-30
DOMAIN acount-qooqle.pe.hu 2019-01-30 2019-01-30
DOMAIN myacccounts-goggle.hol.es 2019-01-30 2019-01-30
DOMAIN ahnniab.esy.es 2019-01-30 2019-01-30
DOMAIN safe-naver-mail.pe.hu 2019-01-30 2019-01-30
DOMAIN nid-mail.esy.es 2019-01-30 2019-01-30
DOMAIN jundosase.cafe24.com 2019-01-30 2019-01-30
DOMAIN aiyac-updaite.hol.es 2019-01-30 2019-01-30

Related Actors

Related Reports

« Back