Por Angel Di Matteo @shadowargelUn miembro del grupo de hackers norcoreano Kimsuky habría sufrido una filtración masiva de datos, exponiendo herramientas y técnicas empleadas en operaciones de ciberespionaje y robo de criptomonedas.
***
- Filtración incluye cientos de GB de archivos internos, malware y registros de campañas.
- Los datos se atribuyen a un operador conocido como “KIM”, vinculado a Kimsuky.
- Investigadores no descartan vínculos con actores chinos.
Un presunto integrante del grupo de hackers norcoreano Kimsuky, clasificado como una amenaza persistente avanzada (APT), habría sido víctima de una filtración masiva de datos que expone herramientas, archivos internos y registros de sus operaciones. Según los investigadores de seguridad de Slow Mist, la fuga asciende a cientos de gigabytes y contiene desde historiales de navegación hasta manuales de malware, incluidas herramientas para el robo de criptomonedas.
De acuerdo con Cryptopolitan, la información filtrada incluye registros de campañas de phishing, manuales de backdoors personalizados, así como programas maliciosos como “TomCat kernel backdoor”, variantes modificadas de Cobalt Strike, Ivanti RootRot y malware para Android como Toybox. Estos hallazgos ofrecen una visión sin precedentes de las capacidades ofensivas del grupo.
Origen de la filtración
El incidente, que habría ocurrido a inicios de junio de 2025, fue rastreado hasta dos sistemas comprometidos vinculados a un operador que utilizaba el alias “KIM”. Uno de ellos era una estación de trabajo Linux con Deepin 20.9, aparentemente utilizada para desarrollar malware. El otro era un servidor VPS público que alojaba material de spear-phishing, como portales de inicio de sesión falsos y enlaces de comando y control.
Los atacantes responsables, que se identifican como “Saber” y “Cyb0rg”, afirman haber accedido a ambos sistemas, extraído su contenido y publicado la información en línea. Aunque algunos indicios relacionan a “KIM” con la infraestructura conocida de Kimsuky, ciertos elementos técnicos y lingüísticos apuntan a un posible vínculo con China, por lo que el origen definitivo sigue sin confirmarse.
Historia y tácticas del grupo Kimsuky
Activo desde al menos 2012, Kimsuky se ha asociado con la Oficina General de Reconocimiento de Corea del Norte. Sus campañas han apuntado a gobiernos, centros de investigación, contratistas de defensa y universidades, con el objetivo de recopilar inteligencia.
En 2025, el grupo ha ejecutado operaciones como DEEP#DRIVE, que empleaban cadenas de intrusión en varias etapas. Estas comenzaban con archivos ZIP comprimidos que contenían accesos directos de Windows (LNK) disfrazados de documentos. Al abrirlos, se ejecutaban comandos de PowerShell que descargaban malware desde servicios como Dropbox, utilizando documentos señuelo para evitar detección.
En marzo y abril de 2025, Kimsuky incorporó código VBScript y PowerShell ofuscado en archivos ZIP maliciosos. Estos scripts ensamblaban comandos de forma encubierta, desplegando malware capaz de registrar teclas pulsadas, capturar el portapapeles y robar claves de monederos de criptomonedas almacenadas en navegadores como Chrome, Edge, Firefox y Naver Whale.
Evolución de las herramientas
El grupo ha adoptado nuevas técnicas para el acceso remoto encubierto, como módulos personalizados de RDP Wrapper y malware proxy. También ha utilizado herramientas como forceCopy para extraer credenciales de navegadores sin activar alertas de seguridad.
Otra táctica frecuente ha sido el abuso de plataformas legítimas. En junio de 2025, una campaña de spear-phishing contra Corea del Sur utilizó repositorios privados de GitHub para almacenar malware y datos robados, mientras que Dropbox sirvió como repositorio temporal. Esto les permitió camuflar su actividad maliciosa dentro del tráfico legítimo de la red.
El caso de la filtración contra “KIM” representa un golpe inusual contra Kimsuky, que habitualmente opera en las sombras. La exposición de sus herramientas y métodos podría afectar su capacidad operativa en el corto plazo, aunque expertos advierten que el grupo probablemente intentará adaptarse y continuar sus actividades de ciberespionaje.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de Unsplash.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bitcoin
Autoridades en Brasil detienen a secuestradores que exigían pago de rescate en Bitcoin
Estafas
Odin.fun, plataforma de memecoins, sufre exploit y registra pérdidas por USD $7 millones
DeFi
CrediX desaparece tras hackeo: sitio web y redes sociales fuera de línea
Asia
