Cibercriminales infiltran y revelan una importante operación de espionaje norcoreana.

Recientes reportes indican que unos hackers han logrado comprometer la computadora de un empleado del gobierno norcoreano, revelando su contenido en línea y ofreciendo una rara visión del funcionamiento de una operación de hacking orquestada por este país conocido por su secretismo. Los hackers, que se hacen llamar Saber y cyb0rg, presentaron un informe sobre la brecha de seguridad en la última edición de Phrack, una revista electrónica de ciberseguridad legendaria que ha estado en circulación desde 1985. Esta edición fue compartida durante la conferencia de hackers Def Con en Las Vegas la semana pasada.

En su artículo, los hackers revelaron que lograron acceder a una estación de trabajo que contenía una máquina virtual y un servidor privado virtual del hacker, a quien llaman "Kim". Aparentemente, Kim forma parte del grupo de espionaje del gobierno norcoreano conocido como Kimsuky, también identificado como APT43 y Thallium. La información robada fue divulgada a DDoSecrets, un colectivo sin fines de lucro que almacena bases de datos filtradas en interés público.

Kimsuky es un grupo de amenazas persistentes avanzadas (APT) que se cree opera dentro del gobierno norcoreano, enfocándose en objetivos como periodistas y agencias gubernamentales de Corea del Sur, así como otros objetivos relevantes para el aparato de inteligencia de Norcorea. Además, este grupo realiza operaciones similares a las de una organización criminal, como el robo y blanqueo de criptomonedas para financiar el programa nuclear del país.

Este hackeo proporciona una perspectiva casi sin precedentes sobre las operaciones de Kimsuky, ya que los hackers comprometieron a un miembro del grupo en lugar de investigar una filtración de datos, método típico de los investigadores de ciberseguridad. En su informe, mencionan cómo Kimsuky colabora abiertamente con hackers del gobierno chino, intercambiando herramientas y técnicas.

Aunque lo que hicieron Saber y cyb0rg es técnicamente un delito, es poco probable que enfrenten consecuencias legales, dado que Norcorea está sujeta a severas sanciones. Los hackers creen que los miembros de Kimsuky deben ser expuestos y avergonzados. En su artículo, criticaron a Kimsuky, afirmando que sus objetivos se basan en la codicia financiera y la búsqueda de enriquecer a sus líderes, en detrimento de otros.

Saber y cyb0rg afirman haber encontrado evidencia de que Kimsuky ha comprometido varias redes gubernamentales y empresas surcoreanas, así como herramientas de hacking, manuales internos, contraseñas y más información. Los correos electrónicos enviados a las direcciones presuntamente pertenecientes a los hackers, mencionadas en su investigación, no recibieron respuesta. Identificaron a Kim como hacker del gobierno norcoreano a partir de "artefactos y pistas" que indicaban su vinculación, incluyendo configuraciones de archivos y dominios atribuidos previamente a Kimsuky. También notaron que Kim tiene "horarios de oficina estrictos", conectándose alrededor de las 09:00 y desconectándose a las 17:00, hora de Pyongyang.