Ciberataque revela herramientas y métodos del grupo espía norcoreano Kimsuky
En un golpe cibernético sin precedentes, dos hackers independientes lograron infiltrar la computadora personal de un presunto agente del grupo de espionaje norcoreano Kimsuky, revelando información inédita sobre las tácticas, herramientas y alianzas de una de las unidades más secretas del régimen de Pyongyang.
Los atacantes, conocidos en la comunidad hacker como Saber y cyb0rg, publicaron su investigación en la legendaria revista digital Phrack, difundida durante la última conferencia Def Con en Las Vegas. Según el reporte, la intrusión les permitió acceder a una estación de trabajo que contenía tanto una máquina virtual como un servidor privado virtual, supuestamente operados por un hacker apodado “Kim”, señalado como miembro activo de Kimsuky.
El conjunto de datos extraído fue entregado a DDoSecrets, una organización sin fines de lucro que archiva y publica filtraciones con relevancia pública. Entre la información se incluyen direcciones de correo electrónico, contraseñas, manuales internos, herramientas de intrusión y registros de actividades que vinculan a Kimsuky con ataques contra agencias gubernamentales, medios de comunicación y empresas surcoreanas.
Quiénes son Kimsuky:
Kimsuky, también identificado como APT43 o Thallium, es un grupo de amenazas persistentes avanzadas (APT) patrocinado por el Estado norcoreano. Se les atribuyen campañas de ciberespionaje y operaciones financieras ilícitas, como el robo y blanqueo de criptomonedas, para financiar el programa nuclear del país.
Lo que hace singular a esta filtración es que, a diferencia de investigaciones forenses posteriores a un ataque, Saber y cyb0rg comprometieron directamente a uno de sus operadores, ofreciendo un vistazo real al interior de sus operaciones diarias.
Hallazgos clave:
Los datos revelan una cooperación estrecha entre miembros de Kimsuky y hackers vinculados al gobierno chino, así como un patrón de trabajo regular que coincide con el horario laboral de Pyongyang: conexión a las 9:00 y desconexión a las 17:00.
Además, la filtración confirma la existencia de infraestructura técnica compartida, dominios previamente atribuidos al grupo y configuraciones internas que refuerzan la atribución al aparato de inteligencia norcoreano.
Un ataque con mensaje:
En su publicación, los hackers criticaron duramente la motivación de Kimsuky, acusándolos de actuar por intereses económicos y políticos en favor de la élite norcoreana:
“Hackeas por las razones equivocadas”, escribieron, dejando claro que su intención era exponer y avergonzar públicamente al grupo.
Aunque la intrusión en sí es técnicamente ilegal, es poco probable que los responsables enfrenten consecuencias judiciales, dada la compleja situación geopolítica y las sanciones internacionales que aíslan a Corea del Norte.
No hay comentarios:
Publicar un comentario
Comenta aquí