According to telemetry and intel sources, TeamT5 detected that a North Korean APT, CloudDragon, has launched a large-scale phishing campaign targeting users of Kok Play. The campaign has been carried out since at least March 2022.
Our reliable source has medium to high confidence that this hack was launched by a North Korean threat group called CloudDragon, which is the subgroup of Kimsuky (aka Thallium).
In this attack, the CloudDragon actors prepared multiple phishing sites for credential harvesting targeting users of Kok Play. Then, the actors hijack users’ accounts via OTP brute-force attack.
** Please make sure to check the KOK site address before accessing the KOK Play to avoide hijacking users’ accounts
Legitimate Site:
kok-chain[.]io, apps.kok- play[.]xyz
Phishing Site
cloud.kok-play[.]shop, api.kok- play[.]us
텔레메트리 및 인텔 소스에 따르면 TeamT5는 북한의 APT CloudDragon이 Kok Play 사용자를 대상으로 대규모 피싱 캠페인을 시작한 것을 감지했습니다. 캠페인은 최소 2022년 3월부터 진행되었습니다.
우리의 신뢰할 수 있는 소식통은 이 해킹이 Kimsuky(Tallium이라고도 함)의 하위 그룹인 CloudDragon이라는 북한 위협 그룹에 의해 시작되었다고 확신합니다.
이 공격에서 CloudDragon 공격자는 Kok Play 사용자를 대상으로 자격 증명 수집을 위해 여러 피싱 사이트를 준비했습니다. 그런 다음 공격자는 OTP 무차별 대입 공격을 통해 사용자 계정을 탈취합니다.
** 사용자 계정 도용을 방지하기 위해 KOK Play에 액세스하기 전에 KOK 사이트 주소를 확인하십시오.
합법적인 사이트:
kok-chain[.]io, apps.kok-play[.]xyz
피싱 사이트
cloud.kok-play[.]shop, api.kok-play[.]us