En junio de 2025, la comunidad de ciberseguridad fue sacudida. Un miembro del notorio grupo de hackers norcoreano Kimsuky APT se convirtió en la víctima de una masiva filtración de datos, revelando cientos de gigabytes de archivos internos sensibles, herramientas y detalles operativos.
Según los expertos en seguridad de Slow Mist, los datos filtrados incluían historiales de navegación, registros detallados de campañas de phishing, manuales para puertas traseras personalizadas y sistemas de ataque como la puerta trasera del núcleo TomCat, balizas de Cobalt Strike modificadas, el exploit Ivanti RootRot y malware de Android como Toybox.
Dos sistemas comprometidos y hacker "KIM"
La violación estuvo vinculada a dos sistemas comprometidos operados por una persona conocida como "KIM" - uno era una estación de trabajo de desarrollador de Linux (Deepin 20.9), el otro un servidor VPS de acceso público.
El sistema Linux probablemente se utilizó para el desarrollo de malware, mientras que el VPS albergaba materiales de phishing, portales de inicio de sesión falsos e infraestructura de comando y control (C2).
La filtración fue llevada a cabo por hackers que se identifican como “Saber” y “cyb0rg”, quienes afirmaron haber robado y publicado el contenido de ambos sistemas. Si bien algunas pruebas vinculan a “KIM” con la infraestructura conocida de Kimsuky, los indicadores lingüísticos y técnicos también sugieren una posible conexión china, dejando incierta la verdadera origen.
Una larga historia de ciberespionaje
Kimsuky ha estado activo desde al menos 2012 y está vinculado a la Oficina General de Reconocimiento, la principal agencia de inteligencia de Corea del Norte. Desde hace tiempo se especializa en espionaje cibernético dirigido a gobiernos, grupos de expertos, contratistas de defensa y academia.
En 2025, sus campañas – como DEEP#DRIVE – dependían de cadenas de ataque de múltiples etapas. Normalmente comenzaban con archivos ZIP que contenían archivos de acceso directo LNK disfrazados de documentos, que, al abrirse, ejecutaban comandos de PowerShell para descargar cargas maliciosas de servicios en la nube como Dropbox, utilizando documentos de distracción para parecer legítimos.
Técnicas y herramientas avanzadas
En primavera de 2025, Kimsuky desplegó una mezcla de VBScript y PowerShell ocultos dentro de archivos ZIP para:
Registrar pulsaciones de teclasRobar datos del portapapelesRecolectar claves de billetera de criptomonedas de navegadores (Chrome, Edge, Firefox, Naver Whale)
Los atacantes también emparejaron archivos LNK maliciosos con VBScripts que ejecutaron mshta.exe para cargar malware basado en DLL directamente en la memoria. Usaron módulos personalizados de RDP Wrapper y malware proxy para habilitar el acceso remoto encubierto.
Programas como forceCopy extraen credenciales de archivos de configuración del navegador sin activar alertas estándar de acceso a contraseñas.
Explotación de Plataformas de Confianza
Kimsuky abusó de plataformas populares de nube y alojamiento de código. En una campaña de spear phishing en junio de 2025 dirigida a Corea del Sur, se utilizaron repositorios privados de GitHub para almacenar malware y datos robados.
Al entregar malware y exfiltrar archivos a través de Dropbox y GitHub, el grupo pudo ocultar su actividad dentro del tráfico de red legítimo.
Mantente un paso por delante: ¡sigue nuestro perfil y mantente informado sobre todo lo importante en el mundo de las criptomonedas!
Aviso:
,,La información y las opiniones presentadas en este artículo tienen como único propósito la educación y no deben tomarse como asesoramiento de inversión en ninguna situación. El contenido de estas páginas no debe considerarse como asesoramiento financiero, de inversión o de cualquier otra forma. Advertimos que invertir en criptomonedas puede ser arriesgado y puede resultar en pérdidas financieras.“
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Kimsuky norcoreano expuesto por una masiva filtración de datos
En junio de 2025, la comunidad de ciberseguridad fue sacudida. Un miembro del notorio grupo de hackers norcoreano Kimsuky APT se convirtió en la víctima de una masiva filtración de datos, revelando cientos de gigabytes de archivos internos sensibles, herramientas y detalles operativos. Según los expertos en seguridad de Slow Mist, los datos filtrados incluían historiales de navegación, registros detallados de campañas de phishing, manuales para puertas traseras personalizadas y sistemas de ataque como la puerta trasera del núcleo TomCat, balizas de Cobalt Strike modificadas, el exploit Ivanti RootRot y malware de Android como Toybox.
Dos sistemas comprometidos y hacker "KIM" La violación estuvo vinculada a dos sistemas comprometidos operados por una persona conocida como "KIM" - uno era una estación de trabajo de desarrollador de Linux (Deepin 20.9), el otro un servidor VPS de acceso público.
El sistema Linux probablemente se utilizó para el desarrollo de malware, mientras que el VPS albergaba materiales de phishing, portales de inicio de sesión falsos e infraestructura de comando y control (C2). La filtración fue llevada a cabo por hackers que se identifican como “Saber” y “cyb0rg”, quienes afirmaron haber robado y publicado el contenido de ambos sistemas. Si bien algunas pruebas vinculan a “KIM” con la infraestructura conocida de Kimsuky, los indicadores lingüísticos y técnicos también sugieren una posible conexión china, dejando incierta la verdadera origen.
Una larga historia de ciberespionaje Kimsuky ha estado activo desde al menos 2012 y está vinculado a la Oficina General de Reconocimiento, la principal agencia de inteligencia de Corea del Norte. Desde hace tiempo se especializa en espionaje cibernético dirigido a gobiernos, grupos de expertos, contratistas de defensa y academia. En 2025, sus campañas – como DEEP#DRIVE – dependían de cadenas de ataque de múltiples etapas. Normalmente comenzaban con archivos ZIP que contenían archivos de acceso directo LNK disfrazados de documentos, que, al abrirse, ejecutaban comandos de PowerShell para descargar cargas maliciosas de servicios en la nube como Dropbox, utilizando documentos de distracción para parecer legítimos.
Técnicas y herramientas avanzadas En primavera de 2025, Kimsuky desplegó una mezcla de VBScript y PowerShell ocultos dentro de archivos ZIP para: Registrar pulsaciones de teclasRobar datos del portapapelesRecolectar claves de billetera de criptomonedas de navegadores (Chrome, Edge, Firefox, Naver Whale) Los atacantes también emparejaron archivos LNK maliciosos con VBScripts que ejecutaron mshta.exe para cargar malware basado en DLL directamente en la memoria. Usaron módulos personalizados de RDP Wrapper y malware proxy para habilitar el acceso remoto encubierto. Programas como forceCopy extraen credenciales de archivos de configuración del navegador sin activar alertas estándar de acceso a contraseñas.
Explotación de Plataformas de Confianza Kimsuky abusó de plataformas populares de nube y alojamiento de código. En una campaña de spear phishing en junio de 2025 dirigida a Corea del Sur, se utilizaron repositorios privados de GitHub para almacenar malware y datos robados.
Al entregar malware y exfiltrar archivos a través de Dropbox y GitHub, el grupo pudo ocultar su actividad dentro del tráfico de red legítimo.
#NorthKoreaHackers , #ciberataques , #CyberSecurity , #estafa de phishing , #noticiasdelmundo
Mantente un paso por delante: ¡sigue nuestro perfil y mantente informado sobre todo lo importante en el mundo de las criptomonedas! Aviso: ,,La información y las opiniones presentadas en este artículo tienen como único propósito la educación y no deben tomarse como asesoramiento de inversión en ninguna situación. El contenido de estas páginas no debe considerarse como asesoramiento financiero, de inversión o de cualquier otra forma. Advertimos que invertir en criptomonedas puede ser arriesgado y puede resultar en pérdidas financieras.“