Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Operaciones de un gran grupo de hackers norcoreanos expuestas en una presunta filtración de datos
- Se informa que un presunto hacker norcoreano del grupo APT Kimsuky sufrió una importante violación de datos en junio de 2025.
- La filtración provino de una estación de trabajo de desarrollo Linux comprometida que ejecutaba Deepin 20.9 y un VPS público comprometido utilizado para phishing.
- Los materiales expuestos revelan las puertas traseras, los marcos de phishing y las herramientas de reconocimiento del grupo.
Un gran grupo de hackers norcoreanos ha sido expuesto en una supuesta violación de datos que involucra dos sistemas comprometidos, donde un miembro de APT Kimsuky sufrió una presunta filtración masiva.
norcoreano grupo de hackers Kimsuky Advanced Persistent Threat (APT) habría sufrido una importante violación de datos, lo que resultó en la filtración de cientos de gigabytes de archivos y herramientas internas.
Grupo de hackers norcoreanos expuesto en presunta violación de datos
Según los investigadores de seguridad de Slow Mist, los datos filtrados de los piratas informáticos Kimsuky incluyen historiales de navegador, registros de campañas de phishing, manuales para puertas traseras personalizadas y sistemas ofensivos como la puerta trasera del kernel TomCat, balizas Cobalt Strike modificadas, Ivanti RootRot y variantes de malware basadas en Android como Toybox.
Los informes sospechan que la filtración de datos ocurrió a principios de junio de 2025 y la trachasta dos sistemas comprometidos, vinculados a un operador de Kimsuky que operaba bajo el alias "KIM". Uno era una estación de trabajo de desarrollo Linux con Deepin 20.9, mientras que el otro era un VPS público. El sistema Linux probablemente sirvió como entorno de desarrollo de malware, mientras que el otro alberga material de phishing selectivo, incluyendo portales de inicio de sesión falsos y enlaces de comando y control.
Los hackers responsables de la brecha de seguridad, que se hacen llamar "Saber" y "cyb0rg", afirman haber accedido a ambos sistemas y extraído su contenido antes de publicarlo en línea. Si bien algunos indicios vinculan a "KIM" con la infraestructura conocida de Kimsuky, otras pistas lingüísticas y técnicas sugieren una posible conexión china, por lo que, por el momento, el origen de KIM sigue sin resolverse.
Kimsuky opera desde al menos 2012
Kimsuky tiene conexiones con la Oficina General de Reconocimiento de Corea del Norte desde que apareció por primera vez en 2012. El grupo se ha especializado durante mucho tiempo en espionaje cibernético dirigido contra gobiernos, grupos de expertos,tracde defensa y el mundo académico.
A principios de 2025, campañas de Kimsuky como DEEP#DRIVE utilizaron cadenas de intrusión de varias etapas que comenzaban con archivos ZIP comprimidos que contenían archivos de acceso directo de Windows (LNK) camuflados en documentos. Cuando las víctimas abrían esos archivos, los archivos LNK ejecutaban comandos de PowerShell que recuperaban cargas maliciosas de servicios como Dropbox, utilizando documentos falsos para parecer legítimos y evitar ser detectados.
Las campañas de Kimsuky de marzo y abril de 2025 introdujeron código VBScript y PowerShell confuso incrustado en archivos ZIP maliciosos. Estos scripts ensamblaban comandos de forma encubierta e implementaban malware para recopilar pulsaciones de teclas, capturar datos del portapapeles y robar claves de monederos de criptomonedas de navegadores como Chrome, Edge, Firefox y Naver Whale.
Algunas operaciones cambiaron al uso de archivos LNK maliciosos emparejados con VBScript que invocaban mshta.exe para ejecutar malware basado en DLL reflectante directamente en la memoria.
Casi al mismo tiempo, Kimsuky comenzó a implementar módulos RDP Wrapper personalizados y malware proxy para permitir el acceso remoto sigiloso. Se utilizaron ladrones de información como forceCopy para extraerdentde los archivos de configuración del navegador sin activar las alertas estándar de acceso por contraseña.
El grupo también ha abusado de servicios populares de almacenamiento en la nube y de código. En una campaña de spear-phishing lanzada en junio de 2025 contra Corea del Sur, se utilizaron repositorios privados de GitHub para almacenar malware y datos exfiltrados. Estas campañas distribuyeron malware como XenoRAT, utilizando Dropbox como plataforma de almacenamiento temporal para los archivos robados. Este doble uso de plataformas de confianza, tanto para la distribución como para la exfiltración, permitió a Kimsuky ocultar su actividad maliciosa dentro del tráfico de la red legítima.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)