Um membro do notório grupo de espionagem Kimsuky da Coreia do Norte sofreu uma violação significativa de dados depois que insiders vazaram centenas de gigabytes de arquivos e ferramentas internas para o público.
A violação, que surgiu no início de junho de 2025, expôs os sofisticados backdoors, estruturas de phishing e operações de reconhecimento do grupo, marcando um raro revés para o agente de ameaças patrocinado pelo Estado.
De acordo com um análise do arquivo vazado, o despejo interno se originou de dois sistemas comprometidos pertencentes a um operador Kimsuky conhecido pelo pseudônimo “KIM”.
Uma era uma estação de trabalho de desenvolvimento Linux executando o Deepin 20.9; o outro, um VPS voltado para o público usado para campanhas de spear-phishing.
Coletivamente, os despejos revelam todo o arsenal de implantes do grupo, incluindo um backdoor personalizado no nível do kernel Tomcat, um Farol Cobalt Strikee um fork ToyBox baseado em Android.
O código-fonte crítico para sites de spear-phishing voltados para alvos sul-coreanos de alto perfil, como o Comando de Contrainteligência de Defesa (dcc.mil.kr) e o Ministério das Relações Exteriores (mofa.go.kr), também fez parte do vazamento.
Os dados internos incluem registros abrangentes de ataques de phishing montados poucos dias após a violação. Notavelmente, a interface de gerenciamento de phishing “generator.php” da Kimsuky, projetada para ocultar o roubo de credenciais por trás de páginas de erro legítimas em domínios confiáveis, foi totalmente exposta.
Pesquisadores de segurança alertam que o vazamento também contém um cookie administrativo codificado, permitindo acesso não autorizado aos painéis do grupo e logs de rastreamento de phishing.
Além das ferramentas do lado do servidor, a estação de trabalho do KIM rendeu um tesouro de senhas, desde credenciais de root VPS até certificados roubados para a Infraestrutura de Chave Pública do Governo da Coreia do Sul (GPKI).
Um programa Java personalizado para senhas de chave GPKI de força bruta foi encontrado ao lado de chaves privadas coletadas vinculadas a dezenas de funcionários do governo.
O vazamento documenta ainda mais as caixas de retransmissão operacionais de Kimsuky – proxies semelhantes a VPNs predominantemente baseados na China e Hong Kong – e registros de domínios recém-adquiridos, como webcloud-notice.com.
A violação provocou protestos entre especialistas em inteligência cibernética. “Isso representa um ganho inesperado monumental de inteligência”, disse um especialista em caça a ameaças.
“Agora temos visibilidade direta das metodologias, base de código e até hábitos de fuso horário de Kimsuky – realmente um raro vislumbre do manual de um ator estatal secreto.”
A Coreia do Norte ainda não respondeu oficialmente. Historicamente, Pyongyang não reivindicou a responsabilidade por Kimsuky nem reconheceu publicamente suas operações de hacking.
No entanto, essa falha de causa raiz ecoa uma tendência crescente de risco interno dentro de unidades cibernéticas clandestinas, ressaltando os desafios operacionais enfrentados pelos atores do estado-nação.
Observadores da indústria antecipam uma rápida engenharia reversa dos implantes vazados e backdoors, permitindo que os defensores desenvolvam assinaturas de detecção e estratégias de mitigação.
As agências sul-coreanas começaram a vasculhar os dados, com o objetivo de fortalecer as redes internas e prevenir futuros ataques de spear-phishing.
À medida que a comunidade de segurança cibernética digere todo o escopo da violação, uma conclusão permanece clara: mesmo as campanhas cibernéticas mais secretas e apoiadas pelo Estado são vulneráveis a comprometimentos internos, e o momento de exposição de Kimsuky pode redefinir como os governos protegem seus arsenais digitais em uma era de guerra cibernética crescente.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!