Em junho de 2025, a comunidade de cibersegurança foi abalada. Um membro do notório grupo de hackers norte-coreano Kimsuky APT tornou-se a vítima de uma violação de dados maciça, revelando centenas de gigabytes de arquivos internos sensíveis, ferramentas e detalhes operacionais.
De acordo com especialistas em segurança da Slow Mist, os dados vazados incluíam históricos de navegação, registos detalhados de campanhas de phishing, manuais para backdoors personalizados e sistemas de ataque, como o backdoor do kernel TomCat, feixes modificados do Cobalt Strike, a exploração Ivanti RootRot e malware Android como o Toybox.
Dois Sistemas Comprometidos e Hacker "KIM"
A violação foi ligada a dois sistemas comprometidos operados por um indivíduo conhecido como "KIM" – um era uma estação de trabalho de desenvolvedor Linux (Deepin 20.9), o outro um servidor VPS acessível publicamente.
O sistema Linux foi provavelmente utilizado para o desenvolvimento de malware, enquanto o VPS hospedava materiais de phishing, portais de login falsos e infraestrutura de comando e controle (C2).
O vazamento foi realizado por hackers que se identificam como “Saber” e “cyb0rg”, que alegaram ter roubado e publicado o conteúdo de ambos os sistemas. Embora algumas evidências liguem “KIM” a uma infraestrutura conhecida do Kimsuky, indicadores linguísticos e técnicos também sugerem uma possível conexão chinesa, deixando a verdadeira origem incerta.
Uma Longa História de Espionagem Cibernética
Kimsuky tem estado ativo desde pelo menos 2012 e está ligado ao Escritório Geral de Reconhecimento, a principal agência de inteligência da Coreia do Norte. Especializou-se há muito em espionagem cibernética direcionada a governos, grupos de reflexão, contratantes de defesa e academia.
Em 2025, as suas campanhas – como a DEEP#DRIVE – baseavam-se em cadeias de ataque em múltiplas etapas. Normalmente, começavam com arquivos ZIP contendo ficheiros de atalho LNK disfarçados de documentos, que, quando abertos, executavam comandos PowerShell para descarregar cargas maliciosas de serviços de nuvem como o Dropbox, utilizando documentos de iscas para parecerem legítimos.
Técnicas e Ferramentas Avançadas
Na primavera de 2025, Kimsuky implementou uma mistura de VBScript e PowerShell escondidos dentro de arquivos ZIP para:
Registar teclasRoubar dados da área de transferênciaColher chaves de carteiras de criptomoeda dos navegadores (Chrome, Edge, Firefox, Naver Whale)
Os atacantes também emparelharam arquivos LNK maliciosos com VBScripts que executaram mshta.exe para carregar malware baseado em DLL diretamente na memória. Eles usaram módulos personalizados do RDP Wrapper e malware de proxy para permitir acesso remoto encoberto.
Programas como forceCopy extraíram credenciais dos arquivos de configuração do navegador sem acionar os alertas de acesso a senhas padrão.
Explorando Plataformas Confiáveis
Kimsuky abusou de plataformas populares de cloud e de hospedagem de código. Numa campanha de spear phishing em junho de 2025, direcionada à Coreia do Sul, repositórios privados do GitHub foram usados para armazenar malware e dados roubados.
Ao entregar malware e exfiltrar ficheiros através do Dropbox e GitHub, o grupo conseguiu ocultar a sua atividade dentro do tráfego de rede legítimo.
Fique um passo à frente – siga o nosso perfil e mantenha-se informado sobre tudo o que é importante no mundo das criptomoedas!
Aviso:
,,As informações e opiniões apresentadas neste artigo são destinadas exclusivamente a fins educacionais e não devem ser interpretadas como aconselhamento de investimento em qualquer situação. O conteúdo destas páginas não deve ser considerado como aconselhamento financeiro, de investimento ou qualquer outra forma de aconselhamento. Aconselhamos que investir em criptomoedas pode ser arriscado e pode resultar em perdas financeiras.“
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Kimsuky da Coreia do Norte Exposto por Grande Vazamento de Dados
Em junho de 2025, a comunidade de cibersegurança foi abalada. Um membro do notório grupo de hackers norte-coreano Kimsuky APT tornou-se a vítima de uma violação de dados maciça, revelando centenas de gigabytes de arquivos internos sensíveis, ferramentas e detalhes operacionais. De acordo com especialistas em segurança da Slow Mist, os dados vazados incluíam históricos de navegação, registos detalhados de campanhas de phishing, manuais para backdoors personalizados e sistemas de ataque, como o backdoor do kernel TomCat, feixes modificados do Cobalt Strike, a exploração Ivanti RootRot e malware Android como o Toybox.
Dois Sistemas Comprometidos e Hacker "KIM" A violação foi ligada a dois sistemas comprometidos operados por um indivíduo conhecido como "KIM" – um era uma estação de trabalho de desenvolvedor Linux (Deepin 20.9), o outro um servidor VPS acessível publicamente.
O sistema Linux foi provavelmente utilizado para o desenvolvimento de malware, enquanto o VPS hospedava materiais de phishing, portais de login falsos e infraestrutura de comando e controle (C2). O vazamento foi realizado por hackers que se identificam como “Saber” e “cyb0rg”, que alegaram ter roubado e publicado o conteúdo de ambos os sistemas. Embora algumas evidências liguem “KIM” a uma infraestrutura conhecida do Kimsuky, indicadores linguísticos e técnicos também sugerem uma possível conexão chinesa, deixando a verdadeira origem incerta.
Uma Longa História de Espionagem Cibernética Kimsuky tem estado ativo desde pelo menos 2012 e está ligado ao Escritório Geral de Reconhecimento, a principal agência de inteligência da Coreia do Norte. Especializou-se há muito em espionagem cibernética direcionada a governos, grupos de reflexão, contratantes de defesa e academia. Em 2025, as suas campanhas – como a DEEP#DRIVE – baseavam-se em cadeias de ataque em múltiplas etapas. Normalmente, começavam com arquivos ZIP contendo ficheiros de atalho LNK disfarçados de documentos, que, quando abertos, executavam comandos PowerShell para descarregar cargas maliciosas de serviços de nuvem como o Dropbox, utilizando documentos de iscas para parecerem legítimos.
Técnicas e Ferramentas Avançadas Na primavera de 2025, Kimsuky implementou uma mistura de VBScript e PowerShell escondidos dentro de arquivos ZIP para: Registar teclasRoubar dados da área de transferênciaColher chaves de carteiras de criptomoeda dos navegadores (Chrome, Edge, Firefox, Naver Whale) Os atacantes também emparelharam arquivos LNK maliciosos com VBScripts que executaram mshta.exe para carregar malware baseado em DLL diretamente na memória. Eles usaram módulos personalizados do RDP Wrapper e malware de proxy para permitir acesso remoto encoberto. Programas como forceCopy extraíram credenciais dos arquivos de configuração do navegador sem acionar os alertas de acesso a senhas padrão.
Explorando Plataformas Confiáveis Kimsuky abusou de plataformas populares de cloud e de hospedagem de código. Numa campanha de spear phishing em junho de 2025, direcionada à Coreia do Sul, repositórios privados do GitHub foram usados para armazenar malware e dados roubados.
Ao entregar malware e exfiltrar ficheiros através do Dropbox e GitHub, o grupo conseguiu ocultar a sua atividade dentro do tráfego de rede legítimo.
#NorthKoreaHackers , #ataques cibernéticos , #CyberSecurity , #golpe de phishing , #notíciasmundiais
Fique um passo à frente – siga o nosso perfil e mantenha-se informado sobre tudo o que é importante no mundo das criptomoedas! Aviso: ,,As informações e opiniões apresentadas neste artigo são destinadas exclusivamente a fins educacionais e não devem ser interpretadas como aconselhamento de investimento em qualquer situação. O conteúdo destas páginas não deve ser considerado como aconselhamento financeiro, de investimento ou qualquer outra forma de aconselhamento. Aconselhamos que investir em criptomoedas pode ser arriscado e pode resultar em perdas financeiras.“