Хакеры заявили о взломе компьютера северокорейского государственного хакера и утечке его содержимого в сеть, что предоставило редкую возможность заглянуть внутрь хакерской операции этой печально известной своей секретностью страны.
Два хакера, известные под псевдонимами Saber и cyb0rg, опубликовали [https://data.ddosecrets.com/APT%20Down%20-%20The%20North%20Korea%20Files/phrack-apt-down-the-north-korea-files.pdf] отчёт о взломе в последнем выпуске журнала Phrack — легендарного издания о кибербезопасности [https://phrack.org/], впервые вышедшего в 1985 году. Новый номер был распространян [https://x.com/richinseattle/status/1954645291276039339] на конференции хакеров Def Con в Лас-Вегасе на прошлой неделе.
В статье авторы написали, что им удалось скомпрометировать рабочую станцию с виртуальной машиной и виртуальным частным сервером, принадлежавшие хакеру, которого они называют «Ким». По их утверждению, Ким работает на правительственную группу кибершпионажа КНДР, известную как Kimsuky (также фигурирует [https://attack.mitre.org/groups/G0094/] под названиями APT43 и Thallium). Утекшие данные были переданы коллективу DDoSecrets, некоммерческой организации, сохраняющей утечки в интересах общественности.
Kimsuky — высокоактивная группа advanced persistent threat (APT) [https://techcrunch.com/2025/04/25/techcrunch-reference-guide-to-security-terminology/#advanced-persistent-threat-apt], которая, как считается, действует в интересах правительства Северной Кореи. Её мишенями становятся журналисты [https://techcrunch.com/2023/06/06/north-korea-hackers-kimsuky-strategic-intelligence/], правительственные структуры [https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-301a] Южной Кореи и других стран, а также цели, представляющие интерес для северокорейских спецслужб.
Как это часто бывает с северокорейскими группами, Kimsuky также занимается киберпреступлениями: например, крадёт и отмывает криптовалюты [https://cloud.google.com/blog/topics/threat-intelligence/apt43-north-korea-cybercrime-espionage], чтобы финансировать ядерную программу КНДР.
Данный взлом предоставляет почти беспрецедентное представление о внутренней работе Kimsuky, поскольку хакеры напрямую скомпрометировали участника группы, а не анализировали последствия взлома, как это обычно делают исследователи или компании.
«Это показывает, насколько открыто Kimsuky сотрудничает с китайскими [государственными хакерами] и делится своими инструментами и методиками», — написали авторы.
[https://techcrunch.com/wp-content/uploads/2025/08/kim-jong-un-illusration-phrack_793d66.jpg?w=680]Иллюстрация с лидером КНДР Ким Чен Ыном, включённая в статью Phrack (Изображение: Saber и cyb0rg/Phrack)
Технически действия Saber и cyb0rg являются преступлением, однако их вряд ли привлекут к ответственности, учитывая, что Северная Корея находится под санкциями [https://techcrunch.com/2025/07/17/north-korean-hackers-blamed-for-record-spike-in-crypto-thefts-in-2025/]. Очевидно, хакеры считают, что участники Kimsuky заслужили публичного разоблачения.
«Kimsuky, вы не хакеры. Вы движимы финансовой жадностью, обогащением ваших лидеров и выполнением их политических задач. Вы крадёте у других и ставите себя выше остальных. Вы морально извращены», — написали авторы в Phrack. — «Вы взламываете из самых низменных побуждений».
Saber и cyb0rg утверждают, что обнаружили доказательства взломов Kimsuky в сетях южнокорейских госструктур и компаний, электронные адреса, хакерские инструменты группы, внутренние инструкции, пароли и другие данные.
Письма, отправленные на указанные в исследовании адреса, предположительно принадлежащие хакерам, остались без ответа.
Авторы заявили, что смогли идентифицировать Кима как северокорейского государственного хакера благодаря «артефактам и намёкам», включая конфигурации файлов и домены, ранее связанные с Kimsuky.
Ещё одной уликой стал «строгий рабочий график Кима: подключение около 09:00 и отключение к 17:00 по пхеньянскому времени».