Kimsuky: Espionaje Científico y Credential Harvesting de DPRK
Perfil de Kimsuky (Velvet Chollima/Emerald Sleet/Thallium): grupo norcoreano especializado en espionaje de think tanks, academia e investigación nuclear. Credential harvesting masivo, phishing personalizado y herramientas custom.
Kimsuky es el brazo de espionaje intelectual de Corea del Norte, especializado en robar conocimiento de investigadores y diplomáticos
Kimsuky (Velvet Chollima/Emerald Sleet/Thallium) opera bajo el RGB de Corea del Norte con una misión diferente a Lazarus: no roba dinero, roba conocimiento. Sus targets son investigadores nucleares, analistas de política exterior, diplomáticos que trabajan en asuntos norcoreanos, y académicos. Su método principal es phishing extremadamente personalizado seguido de credential harvesting.
Ficha del grupo
| Campo | Detalle |
|---|---|
| MITRE ID | G0094 |
| Nombres | Velvet Chollima, Emerald Sleet, Thallium, Black Banshee, APT43, TA406 |
| Atribución | RGB (Reconnaissance General Bureau), DPRK |
| Motivación | Espionaje de inteligencia (nuclear, diplomático, académico) |
| Activo desde | 2012 |
| Nivel | Tier 3: phishing sofisticado, tools custom, buen OPSEC |
| Sectores | Think tanks, academia, gobierno, diplomacia, media, nuclear |
| Regiones | Corea del Sur, EEUU, Japón, Europa |
Método de operación: social engineering de larga duración
FASE 1: INVESTIGACIÓN (semanas)
- Identificar target: investigador de política nuclear
- Estudiar publicaciones, conferencias, co-autores
- Mapear su red de contactos profesionales
- Crear perfil falso creíble (profesor, colega, periodista)
FASE 2: CONTACTO INICIAL (días)
- Email desde dirección que parece legítima
- Tema relevante: "invitación a conferencia", "revisión de paper",
"entrevista para artículo sobre DPRK"
- Sin malware en el primer email (solo establecer confianza)
FASE 3: INTERCAMBIO DE EMAILS (días-semanas)
- Múltiples emails legítimos de ida y vuelta
- Construir rapport y confianza
- Parecer un contacto profesional real
FASE 4: CREDENTIAL HARVESTING
- "Te envío el documento, necesitas iniciar sesión para acceder"
- Link a página de login falsa (Google, Outlook, plataforma académica)
- Víctima introduce credenciales → capturadas
- Página redirige al servicio real (víctima no sospecha)
FASE 5: EXPLOTACIÓN
- Login al email real de la víctima con credenciales robadas
- Buscar y exfiltrar: documentos de investigación, emails con otros
expertos, borradores de policy papers, información clasificada
- Mantener acceso durante meses leyendo email de la víctima
Herramientas
| Herramienta | Tipo | Nota |
|---|---|---|
| BabyShark | Backdoor | VBScript, recopila info sistema, C2 HTTP |
| ReconShark | Reconnaissance | Sucesor de BabyShark, spear-phishing delivery |
| FlowerPower | Info stealer | Exfiltra documentos y credenciales |
| GoldDragon | Backdoor | Modular, keylogging, screenshot |
| AppleSeed | Backdoor | Backdoor para macOS y Windows |
| RandomQuery | Info stealer | Recopila archivos específicos por extensión |
| Phishing infrastructure | Credential harvesting | Páginas de login clonadas (Google, Naver, Daum) |
Campañas documentadas
Operación "Stolen Pencil" (2018)
Phishing masivo contra universidades de EEUU. Emails de "invitación a revisión de artículo" con link a página de login de Google falsa. Cientos de académicos comprometidos.
Campañas contra think tanks (2019-2024)
Targets confirmados: Brookings Institution, CSIS, Chatham House, RAND Corporation, investigadores de Stimson Center y otros think tanks de política exterior.
Campaña contra investigadores de COVID-19 (2020)
Phishing dirigido a investigadores farmacéuticos involucrados en desarrollo de vacunas COVID-19. Objetivo: robar investigación de vacunas.
Espionaje de programa nuclear (continuo)
Objetivo permanente: información sobre programa nuclear de Corea del Sur y capacidades nucleares de otros países. Targets: KAERI (Korea Atomic Energy Research Institute), investigadores de no-proliferación.
Técnicas ATT&CK
| Táctica | Técnica | ID | Uso |
|---|---|---|---|
| Reconnaissance | Gather Victim Identity | T1589 | Investigación profunda del target |
| Resource Development | Establish Accounts | T1585 | Perfiles falsos de académicos/periodistas |
| Initial Access | Phishing: Link | T1566.002 | Links a páginas de credential harvesting |
| Initial Access | Phishing: Attachment | T1566.001 | Documentos con BabyShark/ReconShark |
| Credential Access | Input Capture | T1056 | Páginas de login falsas |
| Credential Access | Valid Accounts | T1078 | Credenciales robadas para acceder a email |
| Collection | Email Collection | T1114.002 | Lectura de buzón de email comprometido |
| Collection | Data from Cloud Storage | T1530 | Acceso a Google Drive de la víctima |
Detección
Indicadores de phishing Kimsuky
Email patterns:
- Remitente con dominio similar a uno legítimo (ej: brookings-inst.org vs brookings.edu)
- Tema: invitación a conferencia, revisión de paper, solicitud de entrevista
- Emails de "warming up" antes del link malicioso (conversación previa)
- Links a dominios que imitan Google Login, Naver, Daum
Credential harvesting pages:
- Dominios registrados recientemente con TLS gratuito
- Páginas idénticas a login de Google/Outlook pero en dominio distinto
- Formularios que envían credenciales via POST a servidor del atacante
- Redirect a servicio real post-captura (víctima no nota nada)
Prevención para targets de Kimsuky
- FIDO2/WebAuthn: phishing-resistant MFA (hardware keys) para investigadores de alto perfil
- Domain monitoring: detectar dominios typosquat de tu organización
- Email authentication: DMARC enforce para tu dominio
- Awareness: entrenar investigadores sobre phishing personalizado
- Google Advanced Protection: programa de Google para targets de alto riesgo
- Verificar invitaciones: confirmar por canal separado (teléfono) invitaciones a conferencias
Conclusión
Kimsuky demuestra que el phishing personalizado de larga duración sigue siendo una de las técnicas más efectivas contra targets de alto valor. No necesitan zero-days ni malware sofisticado: un email convincente y una página de login falsa son suficientes para comprometer investigadores, diplomáticos y académicos. Para organizaciones con personal de investigación sensible, FIDO2 MFA y awareness específico son las defensas prioritarias.
Fuentes y referencias
- MITRE ATT&CK: Kimsuky (G0094)
- CISA: "North Korean Kimsuky Advisory" (2023)
- Mandiant: "APT43: North Korea's Stealthy Intelligence Collectors" (2023)
- Google TAG: "Kimsuky targeting researchers" (2024)
- Microsoft: "Emerald Sleet" threat profile
Preguntas frecuentes
Artículos relacionados
Lazarus Group: DPRK, Heists de Mil Millones y WannaCry
APT28 (Fancy Bear): GRU Unit 26165, Herramientas y Campañas
MuddyWater: Espionaje y Acceso Inicial del MOIS Iraní
Atribución y Niveles de Confianza: Framework para Analistas CTI
Automatización de Recolección CTI: n8n, MISP y TheHive Cortex
CTI para CISO: Traducir Inteligencia Técnica a Decisiones de Negocio
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.