El pasado mes de febrero, una filtración bautizada como el «Kim dump» sacudió a la comunidad internacional de ciberseguridad. Se trataba de un paquete de archivos robados a un operador ligado a Kimsuky (APT43), uno de los grupos de hackers más activos y sofisticados asociados a Corea del Norte.
Lo que salió a la luz fue algo insólito: no simples muestras de malware, sino el entorno de trabajo completo del atacante, con historiales de comandos, borradores de herramientas, registros de accesos, documentos técnicos y hasta capturas de pantalla de su ordenador.
Sin embargo, en ese momento el material era un volcado en bruto: miles de archivos desordenados, en varios idiomas, con material muy diverso.
Ahora, los analistas de ciberseguridad han terminado de estudiar a fondo ese material y han empezado a publicar informes más completos, que ofrecen un vistazo sin precedentes al día a día de un espía digital norcoreano, y revela cómo se diseñan, prueban y despliegan ataques a gran escala contra gobiernos y empresas de Corea del Sur y Taiwán… con la posible sombra de apoyo logístico chino.
Un laboratorio clandestino al descubierto
Entre los archivos filtrados aparecieron historiales de consola donde el operador compilaba manualmente código malicioso en bajo nivel (ensamblador), lo probaba y lo borraba para ocultar huellas. Había registros de uso de OCR (reconocimiento óptico de caracteres) para analizar documentos en coreano sobre infraestructuras críticas, como la infraestructura de clave pública (GPKI) que gestiona la identidad digital de millones de ciudadanos surcoreanos.
También se encontraron:
- Claves digitales robadas de servidores gubernamentales, con contraseñas en texto plano.
- Rootkits para Linux capaces de ocultarse en el núcleo del sistema y pasar desapercibidos incluso ante herramientas de seguridad.
- Una red de páginas falsas que imitaban portales oficiales (como mofa.go.kr, del Ministerio de Exteriores surcoreano) para robar credenciales en tiempo real.
En pocas palabras, el material muestra una operación que va mucho más allá del clásico ‘phishing’: combina espionaje técnico, robo de identidades digitales y control encubierto de servidores críticos.
El oro digital: credenciales y certificados
El hilo conductor de toda la operación es la obsesión por las credenciales. Para el atacante, una contraseña o un certificado digital no es solo un acceso: es la llave maestra para moverse sin ser detectado. Los registros filtrados muestran cómo el operador lograba acceso a cuentas de administrador (con nombres como ‘oracle’ o ‘svradmin’), cambiaba contraseñas y anotaba cada éxito con la palabra coreana “변경완료” (‘cambio completado’).
En otros casos, el botín eran archivos ‘.key’ pertenecientes a la infraestructura de certificados del gobierno surcoreano, lo que permitiría suplantar identidades oficiales y falsificar comunicaciones.
¿Qué hace China de por medio?
El análisis del ‘Kim leak’ confirma que Corea del Sur es el objetivo prioritario, tanto sus sistemas de identidad digital, como sus redes gubernamentales y sus comunicaciones diplomáticas. Sin embargo, sorprende la atención al detalle hacia Taiwán, donde el operador intentó explorar repositorios de investigación aeronáutica y portales de autenticación en la nube.
Aquí entra en juego la duda de atribución. Algunos indicios, como el idioma y el conocimiento de la GPKI, apuntan claramente a un actor norcoreano…
…pero otros elementos —uso de plataformas chinas como Baidu o Gitee, conexiones desde IPs de telecomunicaciones chinas, historial de navegación en mandarín simplificado— sugieren que el atacante operaba desde suelo chino o con su apoyo tácito. Nada que nos extrañe, dadas las recientes muestras públicas de afecto intergubernamental sino-norcoreano.
Retrato de un hacker entre dos mundos
El aspecto más curioso de a filtración es su vertiente ‘cultural’: en los historiales de navegador se encontraron memes, manuales técnicos y hasta anuncios de móviles Huawei en chino simplificado. Todo ello refuerza la hipótesis de que el operador mantenía una ‘identidad digital’ integrada en la vida online de China, tanto para ‘camuflarse’ como para interactuar con posibles víctimas en ese ecosistema.
¿Por qué importa esta filtración?
Lo que hace único al ‘Kim dump’ es que demuestra cómo Corea del Norte se centra en el robo de credenciales como palanca para operaciones de largo plazo. Las implicaciones son graves:
- Corea del Sur y Taiwán deben reforzar la protección de sus sistemas de identidad digital, certificados y accesos administrativos.
- El caso confirma la tendencia hacia operaciones conjuntas entre Corea del Norte y China, lo que complica la atribución y la respuesta internacional.
- Para la comunidad global, esta filtración es un recordatorio de que el eslabón más débil no siempre es el usuario final, sino las propias infraestructuras de confianza digital que sostienen a gobiernos y empresas.
Vía | DomainTools
Imagen | Marcos Merino mediante IA
En Genbeta | En la guerra de Ucrania, los soldados norcoreanos han conocido Internet. ¿La consecuencia? Adicción al porno
–
La noticia
Una filtración desvela cómo los hackers de Corea del Norte estaban robando credenciales del gobierno de Corea del Sur
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
