Wintech - A sua fonte diária de informação tecnológica - Fuga de dados expõe arsenal do grupo de espionagem Kimsuky

: Por João Fernandes; Ago. 13, 2025

Um membro do grupo de espionagem norte-coreano Kimsuky sofreu uma das maiores quebras de segurança já registadas contra a operação, depois de insiders terem divulgado centenas de gigabytes de ficheiros e ferramentas internas. O incidente, ocorrido em junho de 2025, revelou backdoors sofisticados, frameworks de phishing e detalhes sobre operações de reconhecimento, constituindo um revés raro para este ator de ameaças patrocinado pelo Estado.

A análise do arquivo divulgado mostra que a informação foi extraída de dois sistemas comprometidos pertencentes a um operador identificado como "KIM": uma workstation Linux Deepin 20.9 usada para desenvolvimento e um servidor VPS público utilizado em campanhas de spear-phishing. Entre os materiais expostos encontram-se um backdoor personalizado a nível de kernel para Tomcat, um beacon privado do Cobalt Strike e uma versão modificada da ferramenta Android ToyBox.

O vazamento incluiu também código-fonte de sites de spear-phishing dirigidos a alvos de alto perfil na Coreia do Sul, como o Comando de Contraespionagem da Defesa e o Ministério dos Negócios Estrangeiros, bem como registos detalhados de ataques de phishing executados dias após a fuga. Uma interface de gestão de phishing ("generator.php"), concebida para ocultar o roubo de credenciais atrás de páginas de erro legítimas, foi totalmente exposta, incluindo um cookie administrativo que permite acesso não autorizado aos dashboards do grupo.

A workstation de KIM revelou ainda passwords de servidores VPS, certificados roubados da Infraestrutura de Chave Pública do Governo da Coreia do Sul (GPKI) e uma aplicação Java personalizada para forçar passwords dessas chaves, juntamente com as próprias chaves privadas associadas a dezenas de funcionários governamentais. O material detalha também a rede de "relay boxes" do grupo, maioritariamente na China e Hong Kong, bem como novos domínios registados, como webcloud-notice.com.

Especialistas consideram esta fuga uma "monumental vitória de inteligência", dando acesso sem precedentes ao código, métodos e hábitos operacionais de um grupo conhecido pela sua clandestinidade. Embora a Coreia do Norte não tenha reagido oficialmente, o incidente expõe os riscos internos que também afetam unidades cibernéticas estatais, fragilizando a sua segurança operacional.

A comunidade de cibersegurança já iniciou o processo de engenharia reversa das ferramentas expostas, com vista à criação de assinaturas de deteção e medidas de mitigação. Autoridades sul-coreanas estão a analisar os dados para reforçar redes internas e prevenir futuras campanhas de spear-phishing. Este caso sublinha que até mesmo operações cibernéticas patrocinadas por Estados estão vulneráveis a compromissos internos, podendo redefinir estratégias de proteção digital num cenário de ciberconflito crescente.

Classifique este item

(0 votos)

Ler 241 vezes

Tagged em

Itens relacionados

Vodafone Business lança soluções de segurança para PMEs
Ago. 13, 2025
ESET analisa estratégias de segurança dos candidatos à Presidência da República
Ago. 13, 2025
Kaspersky lidera ranking de transparência em estudo independente
Ago. 13, 2025