Un miembro del grupo de hackers norcoreano Kimsuky fue víctima de una filtración masiva de datos que expone con detalle las técnicas de espionaje y ciberataques utilizadas por esta organización clasificada como una amenaza persistente avanzada (APT).
La filtración, que asciende a cientos de gigabytes, revela el alcance y la sofisticación de las operaciones del grupo, que incluye técnicas como:
- Herramientas de malware
- Manuales operativos
- Registros de campañas de phishing
- Archivos internos
Hacker norcoreano es expuesto y revelan sus ténicas de ciberataque
El operador afectado, identificado bajo el alias "KIM", habría utilizado una estación de trabajo Linux con Deepin 20.9 para desarrollar malware, además de un servidor VPS público que alojaba portales falsos de inicio de sesión y enlaces de comando y control.
Los atacantes responsables de la filtración, que se hacen llamar "Saber" y "Cyb0rg", accedieron a ambos sistemas y publicaron la información en línea. Aunque la infraestructura coincide con la conocida del grupo Kimsuky, algunos elementos técnicos y lingüísticos sugieren posibles vínculos con actores chinos, por lo que el origen definitivo de la filtración aún no fue confirmado.
Entre las herramientas reveladas se encuentran variantes modificadas de Cobalt Strike, el backdoor "TomCat kernel", el malware Ivanti RootRot y aplicaciones maliciosas para Android como Toybox. También se descubrieron manuales detallados sobre el uso de spear-phishing, backdoors personalizados y técnicas de evasión de detección.
Estos hallazgos ofrecen a los investigadores de ciberseguridad una visión sin precedentes sobre las capacidades ofensivas del grupo, que se mantiene activo desde al menos 2012 y está directamente vinculado a la Oficina General de Reconocimiento de Corea del Norte.
/https://assets.iproup.com/assets/public/images/lazyload.gif)
Filtran los datos de un miembro del grupo hacker norcoreano Kimsuky y revelan técnicas utilizadas para ciberatacar
La filtración tiene implicancias técnicas y geopolíticas significativas: por un lado, permite a expertos en ciberseguridad desarrollar contramedidas más eficaces contra futuras intrusiones, mientras que, por otro, expone vulnerabilidades internas dentro del grupo.
Además, la divulgación de identidades, contactos y código fuente plantea riesgos para las organizaciones que fueron o serían blanco de sus ataques. Kimsuky fue responsable de campañas que tenían como objetivo recopilar inteligencia estratégica, dirigidas contra:
- Gobiernos
- Universidades
- Contratistas de defensa
- Centros de investigación
En 2025, el grupo ejecutó operaciones como DEEP#DRIVE, que empleaban archivos comprimidos con accesos directos disfrazados de documentos para iniciar cadenas de intrusión.
El robo de credenciales se dispara un 160% en 2025
La noticia se da tras conocerse que la filtración de credenciales creció un 160 % en lo que va de 2025, según los datos del último informe elaborado por la firma Check Point Software Technologies.
Los atacantes perfeccionaron sus técnicas hasta convertirla en un mecanismo sistemático, automatizado y difícil de detectar, un fenómeno que afecta a grandes corporaciones y a empresas de menor tamaño por igual, sin importar el sector en el que operen. La exposición, de hecho, no depende únicamente del tamaño de la compañía, sino del nivel de digitalización y del grado de visibilidad.
En un solo mes, más de 14.000 credenciales de empleados fueron expuestas en filtraciones. Además, la investigación de Check Point External Risk Management reveló que las empresas tardan de media 94 días en remediar una filtración de credenciales que proviene de plataformas como GitHub, un periodo crítico durante el cual los atacantes pueden actuar sin ser detectados.
La filtración de credenciales y su comercialización en la Dark Web creció 160% en lo que va del año
Incluso, quedó de manifiesto que un 46% de los dispositivos asociados a credenciales filtradas carece de herramientas de seguridad instaladas, algo que agrava el riesgo de exposición incluso más allá del entorno corporativo.
Aunque los países con mayor población encabezan el listado global de credenciales comprometidas, destaca la aparición de Vietnam, Pakistán y Turquía, y refleja su creciente actividad digital. Los Estados Unidos se mantiene como objetivo prioritario, dada su relevancia económica y tecnológica.
El informe de Check Point External Risk Management indicó que los métodos utilizados por los ciberdelincuentes son cada vez más variados y sofisticados:
Una vez obtenidas las credenciales se compilan en listas combinadas y se venden e intercambian en foros abiertos y en la Dark Web en foros que operan como mercados ilícitos, donde se ofrece una gama de datos robados que va más allá de las credenciales.
Así otros ciberdelincuentes las compran para lanzar ataques de toma de control de cuentas, obtener acceso no autorizado a información confidencial de una empresa o iniciar sofisticadas campañas de ingeniería social.
