É meus caros leitores(a) nem sempre o predador sai ileso. No início de junho de 2025, um dos grupos de espionagem mais conhecidos da Coreia do Norte, o Kimsuky, sofreu um golpe que dificilmente vai esquecer: centenas de gigabytes de arquivos internos, códigos e ferramentas foram vazados na internet e, pior, por gente de dentro.
Para quem não conhece, o Kimsuky é especialista em campanhas de phishing, espionagem digital e ataques direcionados a governos, especialmente a Coreia do Sul. Mas dessa vez, os holofotes viraram contra eles. A origem do vazamento foi atribuída a dois sistemas comprometidos pertencentes a um operador identificado apenas pelo apelido “KIM”.
Um dos sistemas era uma estação de trabalho Linux Deepin 20.9 usada para desenvolvimento. O outro, um servidor VPS exposto na internet e utilizado em campanhas de spear-phishing. O pacote completo incluía desde backdoors sofisticados até frameworks para phishing e ferramentas de reconhecimento.
O arsenal revelado é digno de filme de espionagem digital:
- Um backdoor em nível de kernel baseado no Tomcat
- Uma versão privada do Cobalt Strike beacon
- Um fork modificado do ToyBox para Android
- Códigos-fonte de sites de phishing direcionados a órgãos de alto perfil sul-coreanos, como o Defense Counterintelligence Command (dcc.mil.kr) e o Ministério de Relações Exteriores (mofa.go.kr)
E a cereja do bolo meus caros leitores(a), o vazamento incluiu o painel de gerenciamento generator.php, usado para disfarçar o roubo de credenciais como mensagens de erro legítimas em domínios confiáveis. Com direito até a cookie administrativo hardcoded, permitindo acesso irrestrito aos painéis e logs de phishing do grupo.
O material também trouxe um tesouro para qualquer investigador:
- Senhas de root de servidores
- Certificados roubados da infraestrutura de chaves públicas do governo sul-coreano (GPKI)
- Um programa Java customizado para quebrar senhas de chaves GPKI
- Chaves privadas pertencentes a dezenas de autoridades governamentais
Além disso, a rede de “relay boxes” servidores usados como proxies e hospedados principalmente na China e em Hong Kong foi mapeada, junto com registros de novos domínios maliciosos, como o webcloud-notice.com.
Para a comunidade de inteligência cibernética, o impacto é gigantesco. Como disse um especialista em threat hunting:
Temos uma visão direta das metodologias, do código e até dos hábitos de fuso horário do Kimsuky. É uma oportunidade rara para estudar um ator estatal desse nível.
A Coreia do Norte, fiel à sua cartilha, não comentou o assunto. Oficialmente, o governo de Pyongyang nunca admitiu a existência do Kimsuky. Mas o incidente expõe algo que afeta até mesmo operações clandestinas: o risco interno.
Especialistas acreditam que, a partir desse vazamento, defensores poderão criar assinaturas de detecção, reforçar proteções e entender com muito mais clareza as táticas e ferramentas do grupo. Fontes sul-coreanas já confirmam que estão analisando o material para prevenir futuros ataques de spear-phishing.
No fim, essa história deixa um recado claro, por mais sofisticada que seja uma operação de espionagem, um único ponto fraco interno pode derrubar anos de sigilo.
Para o Kimsuky, essa não foi só uma falha de segurança. Foi um raio-x completo da sua forma de operar e um presente para todos os seus inimigos digitais.
