Twee hackers hebben toegang gekregen tot het apparaat van een Noord-Koreaanse staatshacker en de inhoud openbaar gemaakt, waardoor er een zeldzaam inkijkje wordt geboden in een van de meest beruchte en geheimzinnige cyberoperaties ter wereld. De hack werd voor het eerst onthuld in het nieuwste nummer van het hackermagazine Phrack.
Volgens de publicatie wisten de hackers het werkstation te compromitteren van een lid van de Kimsuky-groep (ook bekend als APT43 en Thallium), een door de staat gesteunde Noord-Koreaanse hackorganisatie. Het systeem bevatte zowel een virtuele machine als een virtuele server.
De buitgemaakte data, gelekt naar het transparantiecollectief DDoSecrets, bevat volgens berichten hacktools, interne handleidingen, wachtwoorden en bewijs van inbraken in Zuid-Koreaanse overheidsnetwerken en bedrijven. De hackers zeggen dat hun vondsten ook wijzen op samenwerking tussen Kimsuky en door de Chinese staat gesteunde hackers.
De hackers beweren de operatief, die ze “Kim” noemen, te hebben geïdentificeerd via bestandsconfiguraties en domeinen die aan Kimsuky gelinkt zijn. Ook merkten ze op dat de operatief “strikte kantooruren” aanhield, dagelijks actief tussen 09.00 en 17.00 uur Pyongyang-tijd.
Kimsuky wordt gezien als een door de staat gesteunde Noord-Koreaanse hackgroep die vooral journalisten, overheidsinstanties en financiële middelen als doelwit heeft. Net als andere hackgroepen uit Noord-Korea staat de groep erom bekend cryptovaluta te stelen, waarvan wordt aangenomen dat deze worden gebruikt om het nucleaire wapenprogramma van de staat te financieren.
