Una filtración desvela cómo los hackers de Corea del Norte estaban robando credenciales del gobierno de Corea del Sur

El pasado mes de febrero, una filtración bautizada como el "Kim dump" sacudió a la comunidad internacional de ciberseguridad. Se trataba de un paquete de archivos robados a un cámara unido a Kimsuky (APT43), uno de los grupos de hackers más activos y sofisticados asociados a Corea del Finalidad.

Lo que salió a la luz fue poco insólito: no simples muestras de malware, sino el entorno de trabajo completo del atacante, con historiales de comandos, borradores de herramientas, registros de accesos, documentos técnicos y hasta capturas de pantalla de su ordenador.

Sin confiscación, en ese momento el material era un volcado en bruto: miles de archivos desordenados, en varios idiomas, con material muy diverso.

Ahora, los analistas de ciberseguridad han terminado de estudiar a fondo ese material y han empezado a transmitir informes más completos, que ofrecen un vistazo sin precedentes al día a día de un informador digital norcoreano, y revela cómo se diseñan, prueban y despliegan ataques a gran escalera contra gobiernos y empresas de Corea del Sur y Taiwán... con la posible sombra de apoyo logístico chino.

Un laboratorio clandestino al descubierto

Entre los archivos filtrados aparecieron historiales de consola donde el cámara compilaba manualmente código solapado en bajo nivel (ensamblador), lo probaba y lo borraba para ocultar huellas. Había registros de uso de OCR (gratitud óptico de caracteres) para analizar documentos en coreano sobre infraestructuras críticas, como la infraestructura de secreto pública (GPKI) que gestiona la identidad digital de millones de ciudadanos surcoreanos.

Igualmente se encontraron:

• Claves digitales robadas de servidores gubernamentales, con contraseñas en texto plano.
• Rootkits para Linux capaces de ocultarse en el núcleo del sistema y suceder desapercibidos incluso en presencia de herramientas de seguridad.
• Una red de páginas falsas que imitaban portales oficiales (como mofa.go.kr, del Servicio de Exteriores surcoreano) para robar credenciales en tiempo efectivo.

En pocas palabras, el material muestra una operación que va mucho más allá del clásico 'phishing': combina espionaje técnico, robo de identidades digitales y control encubierto de servidores críticos.

El oro digital: credenciales y certificados

El hilo conductor de toda la operación es la obsesión por las credenciales. Para el atacante, una contraseña o un certificado digital no es solo un ataque: es la picaporte maestra para moverse sin ser detectado. Los registros filtrados muestran cómo el cámara lograba ataque a cuentas de administrador (con nombres como 'oracle' o 'svradmin'), cambiaba contraseñas y anotaba cada éxito con la palabra coreana “변경완료” ('cambio completado').

En otros casos, el saco eran archivos '.key' pertenecientes a la infraestructura de certificados del gobierno surcoreano, lo que permitiría suplantar identidades oficiales y falsificar comunicaciones.

¿Qué hace China de por medio?

El estudio del 'Kim leak' confirma que Corea del Sur es el objetivo prioritario, tanto sus sistemas de identidad digital, como sus redes gubernamentales y sus comunicaciones diplomáticas. Sin confiscación, sorprende la atención al detalle alrededor de Taiwán, donde el cámara intentó explorar repositorios de investigación aeronáutica y portales de autenticación en la abundancia.

Aquí entra en pernio la duda de atribución. Algunos indicios, como el idioma y el conocimiento de la GPKI, apuntan claramente a un actor norcoreano...

...pero otros medios —uso de plataformas chinas como Baidu o Gitee, conexiones desde IPs de telecomunicaciones chinas, historial de navegación en mandarín simplificado— sugieren que el atacante operaba desde suelo chino o con su apoyo tácito. Carencia que nos extrañe, dadas las recientes muestras públicas de afecto intergubernamental sino-norcoreano.

Retrato de un hacker entre dos mundos

El aspecto más atípico de a filtración es su perspectiva 'cultural': en los historiales de navegador se encontraron memes, manuales técnicos y hasta anuncios de móviles Huawei en chino simplificado. Todo ello refuerza la hipótesis de que el cámara mantenía una 'identidad digital' integrada en la vida online de China, tanto para 'camuflarse' como para interactuar con posibles víctimas en ese ecosistema.

¿Por qué importa esta filtración?

Lo que hace único al 'Kim dump' es que demuestra cómo Corea del Finalidad se centra en el robo de credenciales como palanca para operaciones de prolongado plazo. Las implicaciones son graves:

• Corea del Sur y Taiwán deben aumentar la protección de sus sistemas de identidad digital, certificados y accesos administrativos.
• El caso confirma la tendencia alrededor de operaciones conjuntas entre Corea del Finalidad y China, lo que complica la atribución y la respuesta internacional.
• Para la comunidad universal, esta filtración es un recordatorio de que el vínculo más débil no siempre es el beneficiario final, sino las propias infraestructuras de confianza digital que sostienen a gobiernos y empresas.

Vía | DomainTools

Imagen | Marcos Merino mediante IA

En Genbeta | En la refriega de Ucrania, los soldados norcoreanos han conocido Internet. ¿La consecuencia? Anexión al porno