Un gran grupo de hackers norcoreanos ha sido expuesto en una supuesta violación de datos que involucra dos sistemas comprometidos, donde un miembro de APT Kimsuky sufrió una presunta filtración masiva.
grupo de hackers norcoreano Kimsuky Advanced Persistent Threat (APT) habría sufrido una importante violación de datos, lo que resultó en la filtración de cientos de gigabytes de archivos y herramientas internas.
Grupo de hackers norcoreanos expuesto en presunta violación de datos
Según los investigadores de seguridad de Slow Mist, los datos filtrados de los piratas informáticos Kimsuky incluyen historiales de navegador, registros de campañas de phishing, manuales para puertas traseras personalizadas y sistemas ofensivos como la puerta trasera del kernel TomCat, balizas Cobalt Strike modificadas, Ivanti RootRot y variantes de malware basadas en Android como Toybox.
Los informes sospechan que la filtración de datos ocurrió a principios de junio de 2025 y la trachasta dos sistemas comprometidos, vinculados a un operador de Kimsuky que operaba bajo el alias "KIM". Uno era una estación de trabajo de desarrollo Linux con Deepin 20.9, mientras que el otro era un VPS público. El sistema Linux probablemente sirvió como entorno de desarrollo de malware, mientras que el otro alberga material de phishing selectivo, incluyendo portales de inicio de sesión falsos y enlaces de comando y control.
Los hackers responsables de la filtración , autodenominados "Saber" y "cyb0rg", afirman haber accedido y exfiltrado el contenido de ambos sistemas antes de publicarlo en línea. Si bien algunos indicios vinculan a "KIM" con la infraestructura conocida de Kimsuky, otras pistas lingüísticas y técnicas sugieren un posible vínculo chino, por lo que, por ahora, el origen de KIM sigue sin resolverse.
Kimsuky opera desde al menos 2012
Kimsuky tiene conexiones con la Oficina General de Reconocimiento de Corea del Norte desde que apareció por primera vez en 2012. El grupo se ha especializado durante mucho tiempo en espionaje cibernético dirigido contra gobiernos, grupos de expertos,tracde defensa y el mundo académico.
A principios de 2025, campañas de Kimsuky como DEEP#DRIVE utilizaron cadenas de intrusión de varias etapas que comenzaban con archivos ZIP comprimidos que contenían archivos de acceso directo de Windows (LNK) camuflados en documentos. Cuando las víctimas abrían esos archivos, los archivos LNK ejecutaban comandos de PowerShell que recuperaban cargas maliciosas de servicios como Dropbox, utilizando documentos falsos para parecer legítimos y evitar ser detectados.
Las campañas de Kimsuky de marzo y abril de 2025 introdujeron código VBScript y PowerShell confuso incrustado en archivos ZIP maliciosos. Estos scripts ensamblaban comandos de forma encubierta e implementaban malware para recopilar pulsaciones de teclas, capturar datos del portapapeles y robar claves de monederos de criptomonedas de navegadores como Chrome, Edge, Firefox y Naver Whale.
Algunas operaciones cambiaron al uso de archivos LNK maliciosos emparejados con VBScript que invocaban mshta.exe para ejecutar malware basado en DLL reflectante directamente en la memoria.
Casi al mismo tiempo, Kimsuky comenzó a implementar módulos RDP Wrapper personalizados y malware proxy para permitir el acceso remoto sigiloso. Se utilizaron ladrones de información como forceCopy para extraerdentde los archivos de configuración del navegador sin activar las alertas estándar de acceso por contraseña.
El grupo también ha abusado de servicios populares de nube y alojamiento de código. En una campaña de phishing dirigida a Corea del Sur , se utilizaron repositorios privados de GitHub para almacenar malware y datos exfiltrados. Estas campañas distribuyeron cargas útiles como XenoRAT mientras usaban Dropbox como plataforma para los archivos robados. Este doble uso de plataformas confiables para la distribución y la exfiltración permitió a Kimsuky ocultar su actividad maliciosa dentro del tráfico de la red legítima.
