A fines de junio de 2025, un vertedero operativo significativo del grupo Kimsuky APT de Corea del Norte apareció en un foro de madera oscura, exponiendo imágenes de máquinas virtuales, infraestructura VPS, malware personalizado y miles de credenciales robadas.
Esta fuga ofrece una ventana sin precedentes al juego de herramientas de espionaje del grupo, revelando cómo Kimsuky lleva a cabo campañas de phishing, mantiene la persistencia y evade la detección dentro de las redes críticas en Corea del Sur, Estados Unidos, Japón y Europa.
A las pocas horas de su publicación, los analistas de Foresiet identificaron una riqueza de artefactos, incluidos los historiales de navegador, los módulos rootkit y los certificados de GPKI obsoletos, que prometen años de información sobre las operaciones cibernéticas de la RPDC.
Investigadores de Foresiet anotado que el primer conjunto de datos se originó en la máquina virtual personal de Deepin Linux del operador, completa con la integración HGFS que conservó los contenidos C: \ Drive del host.
Una captura de pantalla de escritorio captura el entorno del atacante, que muestra extensiones de proxy y agente de usuario personalizadas en navegadores cromados y valientes.
Kimsuky Apt Group Dump (Fuente – Foresiet)
El mismo volcado de VM reveló casi 20,000 registros del historial del navegador, exponiendo direcciones de correo electrónico utilizadas para phishing de lanza y enlaces a la documentación interna de la puerta trasera, como una guía del usuario en el lenguaje chino para un implante personalizado.
El segundo conjunto de datos derivado de un vicepresidente público alojado en VPS.BZ, donde se recuperaron los archivos de Auth.log detallados y los certificados SSL.
Estos registros rastrearon las operaciones de phishing de lanza en vivo contra el Comando de contrainteligencia de Defensa de Corea del Sur (DCC.Mil.KR), la Oficina del Fiscal Supremo (Spo.go.KR) y otros objetivos de alto valor.
Entre los hallazgos más preocupantes se encuentran miles de certificados robados de infraestructura pública del gobierno de Corea del Sur (GPKI) y su herramienta de agrietamiento, escrita en Java, lo que permite a Kimsuky hacerse pasar por funcionarios y firmar documentos fraudulentos sin detección.
La suite de implante de Kimsuky incluye el Tomcat Kernel Rootkit, un módulo de Linux cargable que engancha las funciones de red para proyectiles inversos sigilosos y una baliza personalizada de Cobalt Strike.
El Beacon, actualizado por última vez en junio de 2024, está integrado con perfiles C2 personalizados y parcialmente integrado con el kernel rootkit.
Utiliza HTTP sobre el puerto 8172, publicando a /submit.php con una cadena de agente de usuario IE9 falsificada.
Esta construcción a medida demuestra que Kimsuky está fusionando marcos de código abierto con código patentado para evadir la detección convencional.
Tácticas de persistencia
Uno de los mecanismos de persistencia más sofisticados descubiertos es la raíz del núcleo Tomcat.
Después de la instalación inicial a través de un script de instalador diseñado, el RootKit se registra en la lista del módulo del kernel y parche las funciones clave en INET_SOCK_CREATE y TCP_V4_CONNECT para habilitar el derribo de puertos y las capas de inversa SSL.
Entorno de escritorio del atacante que se ejecuta en Deepin Linux 20.9 (fuente – Foresiet)
Un extracto simplificado de su rutina init ilustra cómo engancha la tabla de llamadas del sistema:-
static int __init rootkit_init (void) {write_cr0 (read_cr0 () & (~ 0x10000)); original_syscall = syscall_table (__ nr_kill); syscall_table (__ nr_kill) = (unsigned long) Hooked_kill; write_cr0 (read_cr0 () | 0x10000); regresar 0; }
Este implante de nivel de núcleo permite que el operador permanezca sin ser detectado por las herramientas de monitoreo del espacio de usuario, lo que obliga a los defensores a implementar reglas de detección especializadas basadas en host.
Al combinar el tráfico C2 encriptado con la autorización de portavoz, el módulo asegura que solo las conexiones preautenticadas pueden desencadenar la puerta trasera, enmascarando efectivamente su presencia dentro de los flujos de red normales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
