Hackers invadem unidade cibernética de elite Kimsuky da Coreia do Norte
Dois hackers que se autodenominam “Saber” e “cyb0rg” expuseram o notório grupo de hackers patrocinado pelo estado norte-coreano Kimsuky em uma violação sem precedentes, vazando 8,9 gigabytes de arquivos internos, ferramentas e dados roubados que fornecem um vislumbre raro das operações cibernéticas da nação secreta.
O vazamento, divulgado no início de agosto de 2025 durante a conferência de hackers DEF CON 33 em Las Vegas através da 72ª edição da lendária revista Phrack, marca um dos comprometimentos mais significativos de um ator de ameaça de estado-nação até o momento.
Os Hackers Contra-atacam
Os dois hackers afirmam que violaram sistemas pertencentes a um operador do Kimsuky conhecido pelo pseudônimo “KIM”, incluindo uma estação de trabalho de desenvolvimento Linux executando Deepin 20.9 e um servidor privado virtual usado para campanhas de spear-phishing. Os hackers citaram motivações éticas para suas ações, publicando uma condenação severa do Kimsuky na revista Phrack.
“Kimsuky, você não é um hacker. Você é movido pela ganância financeira, para enriquecer seus líderes e para cumprir sua agenda política”, escreveram os hackers. “Você rouba dos outros e favorece os seus. Você se valoriza acima dos outros: Você é moralmente pervertido.”
Os dados vazados, agora hospedados no site Distributed Denial of Secrets, contêm uma coleção abrangente de materiais operacionais do Kimsuky que datam do surgimento da violação no início de junho de 2025.
Dentro do Tesouro de 9GB
Os arquivos roubados revelam o escopo sofisticado das operações do Kimsuky contra alvos sul-coreanos. Entre as revelações mais significativas está o código-fonte completo da plataforma de email do Ministério das Relações Exteriores da Coreia do Sul, incluindo módulos de webmail, administrativos e de arquivo. O vazamento também contém logs de phishing mostrando ataques contra o Comando de Contrainteligência de Defesa da Coreia do Sul e direcionando domínios incluindo spo.go.kr, korea.kr, daum.net, kakao.com e naver.com
Pesquisadores de segurança descobriram backdoors customizados, incluindo um backdoor no nível do kernel Tomcat e um beacon privado do Cobalt Strike, junto com um fork do ToyBox baseado em Android. Os arquivos também expuseram a interface de gerenciamento de phishing “generator.php” do Kimsuky, projetada para disfarçar operações de roubo de credenciais atrás de páginas de erro legítimas.
A violação revelou detalhes operacionais incluindo credenciais root de VPS, certificados roubados da Infraestrutura de Chave Pública Governamental da Coreia do Sul, e um programa Java customizado para ataques de força bruta em senhas de chaves GPKI. Logs de histórico do navegador mostraram conexões com contas suspeitas do GitHub, compras de VPN através do Google Pay, e visitas frequentes a fóruns de hacking.
Uma Rara Oportunidade de Inteligência
Especialistas em cibersegurança descrevem o vazamento como fornecendo visibilidade sem precedentes dos métodos de um ator de ameaça patrocinado pelo estado. Segundo um relatório do Chosun Biz, os hackers demonstraram segurança operacional rigorosa, “sempre se conectando por volta das 09:00 e se desconectando às 17:00, horário de Pyongyang”.
O vazamento ocorre enquanto o Kimsuky continua seu direcionamento agressivo a entidades sul-coreanas. Relatórios recentes do Genians Security Center documentaram campanhas AppleSeed sofisticadas entre março e abril de 2025, onde o grupo usou Facebook, e-mail e Telegram para mirar indivíduos envolvidos com atividades de apoio a desertores norte-coreanos.
Embora pesquisadores de segurança ainda estejam verificando a autenticidade de todos os materiais vazados, a violação efetivamente “queimou” porções significativas da infraestrutura do Kimsuky e pode forçar o grupo a reconstruir suas capacidades operacionais do zero.
Por que isso importa
Esta violação sem precedentes expõe as operações cibernéticas mais sofisticadas da Coreia do Norte, potencialmente interrompendo campanhas de espionagem em andamento enquanto fornece aos defensores mundiais inteligência para combater futuros ataques patrocinados pelo Estado.