Um grande grupo de hackers norte-coreano foi exposto em uma suposta violação de dados envolvendo dois sistemas comprometidos, onde um membro do grupo APT Kimsuky sofreu um possível vazamento massivo de dados.
Um membro do grupo de hackers Kimsuky Advanced Persistent Threat (APT) teria sofrido uma grande violação de dados, resultando no vazamento de centenas de gigabytes de arquivos e ferramentas internas.
Grupo de hackers norte-coreano exposto em suspeita de violação de dados
De acordo com os pesquisadores de segurança da Slow Mist, os dados vazados do hacker Kimsuky incluem históricos de navegação, registros de campanhas de phishing, manuais para backdoors personalizados e sistemas ofensivos como o backdoor do kernel Tomcat, beacons Cobalt Strike modificados, Ivanti RootRot e variantes de malware baseadas em Android, como o Toybox.
Os relatórios suspeitam que a violação de dados ocorreu no início de junho de 2025 e a tracaté dois sistemas comprometidos ligados a um operador do Kimsuky que trabalhava sob o pseudônimo "KIM". Um deles era uma estação de trabalho de desenvolvimento Linux executando o Deepin 20.9, enquanto o outro era um VPS exposto publicamente. O sistema Linux provavelmente servia como ambiente de desenvolvimento de malware, enquanto o outro hospedava material de spear-phishing, incluindo portais de login falsos e links de comando e controle.
Os hackers responsáveis pela invasão, que se autodenominam “Saber” e “cyb0rg”, afirmam ter acessado e extraído o conteúdo de ambos os sistemas antes de publicá-lo online. Embora alguns indícios liguem “KIM” à infraestrutura conhecida de Kimsuky, outras pistas linguísticas e técnicas sugerem uma possível ligação com a China, portanto, por ora, a origem de KIM permanece incerta.
Kimsuky está em operação desde pelo menos 2012
O grupo Kimsuky mantém ligações com o Departamento Geral de Reconhecimento da Coreia do Norte desde sua criação em 2012. Há muito tempo, o grupo se especializa em ciberespionagem, tendo como alvo governos, centros de pesquisa, empresastracpela defesa e o meio acadêmico.
No início de 2025, campanhas da Kimsuky como a DEEP#DRIVE usavam cadeias de intrusão em vários estágios, começando com arquivos ZIP compactados contendo arquivos de atalho do Windows (LNK) disfarçados de documentos. Quando as vítimas abriam esses arquivos, os arquivos LNK executavam comandos do PowerShell que recuperavam payloads maliciosos de serviços como o Dropbox, usando documentos falsos para parecerem legítimos e evitar a detecção.
As campanhas Kimsuky de março e abril de 2025 introduziram código VBScript e PowerShell desordenado, incorporado em arquivos ZIP maliciosos. Esses scripts reuniam comandos de forma oculta, implantando malware para coletar teclas digitadas, capturar dados da área de transferência e roubar chaves de carteiras de criptomoedas de navegadores como Chrome, Edge, Firefox e Naver Whale.
Algumas operações passaram a utilizar arquivos LNK maliciosos combinados com VBScript, que invocavam o mshta.exe para executar malware reflexivo baseado em DLL diretamente na memória.
Por volta do mesmo período, Kimsuky começou a implantar módulos RDP Wrapper personalizados e malware de proxy para permitir acesso remoto furtivo. Rouba-informações como o forceCopy eram usadas para coletardentde arquivos de configuração do navegador sem acionar os alertas padrão de acesso por senha.
O grupo também abusou de serviços populares de nuvem e hospedagem de código. Em uma campanha de spear-phishing em junho de 2025, direcionada à Coreia do Sul, repositórios privados do GitHub foram usados para armazenar malware e dados exfiltrados. Essas campanhas distribuíram payloads como o XenoRAT, utilizando o Dropbox como plataforma para arquivos roubados. Esse uso duplo de plataformas confiáveis, tanto para distribuição quanto para exfiltração, permitiu que o Kimsuky ocultasse sua atividade maliciosa no tráfego legítimo da rede.
