篇 32：顶级黑客组织Kimsuky成员工作环境被泄露

搞安全的都可以研究下，看看实战型顶级黑客大佬的工作环境。文件里面很多恶意软件，风险自负。

背景介绍

近日，一起针对朝鲜国家支持的黑客组织Kimsuky的重大数据泄露事件震惊了网络安全界。两个自称“黑客”的个体Saber和cyb0rg窃取并公开发布了约5GB（其他媒体说是 9G,我这下载的只有 5G)的数据，这些数据据称来自Kimsuky的一名核心成员（化名为“KIM”）的虚拟工作站和虚拟私人服务器（VPS）。泄露内容包括钓鱼攻击日志、窃取的源代码、黑客工具以及浏览器历史记录等，揭示了Kimsuky针对韩国政府和军事机构的秘密行动。这起事件不仅暴露了Kimsuky的内部运作，还可能对其未来活动造成严重干扰。以下将详细分析事件经过、泄露内容及其影响。

事情经过

事件起源于2025年8月左右，具体时间点可追溯到DEF CON 33黑客大会期间。DEF CON是全球知名的黑客大会，每年吸引数万名安全研究者和黑客参与。此次泄露通过知名黑客杂志《Phrack》的第72期发布，该期杂志在大会上以限量实体版形式分发，随后在线版本也逐步公开。

据Saber和cyb0rg在《Phrack》中的声明，他们入侵了Kimsuky成员“KIM”的虚拟工作站和VPS。入侵动机源于伦理考量：他们指责Kimsuky并非真正的“黑客”，而是受朝鲜政权驱使，出于政治议程和经济利益进行网络攻击。声明中写道：“Kimsuky，你们不是黑客。你们被贪婪驱使，为领导者致富，并执行他们的政治议程。你们窃取他人财富，并优待自己：你们道德败坏。”他们声称Kimsuky“以错误理由进行黑客活动”，而他们则代表“黑客精神的对立面”——独立、道德驱动的行动（以道德标榜自己的未必是什么好人🐶）。

入侵过程细节尚未完全公开，但从泄露数据来看，Saber和cyb0rg很可能利用了Kimsuky内部的安全漏洞，例如未加密的VPS或工作站配置不当。他们首先窃取了VPS上的攻击日志和工具，然后扩展到工作站，获取了更敏感的内部文件。数据被打包成5.12GB的档案，名为“APT Down - The North Korea Files”，并上传到“Distributed Denial of Secrets”（DDoSecrets）网站供免费下载。DDoSecrets是一个专注于泄露敏感数据的非营利组织，曾处理过多起类似事件。

泄露分两个阶段：第一批数据聚焦VPS上的攻击日志，显示针对韩国国防反间谍司令部（DCC）的钓鱼行动；第二批来自工作站，包括源代码和浏览器记录。整个过程从入侵到发布仅数周时间，数据于2025年8月7-8日上传到DDoSecrets的服务器。安全研究者如BleepingComputer和Hackread迅速报道此事，并联系专家验证数据的真实性。目前，数据已公开，包括PDF文件、源代码档案和工具包。

值得一提的是，《Phrack》杂志选择在DEF CON发布此数据，象征性地“摧毁”Kimsuky的基础设施。这并非首次针对国家黑客的泄露——2020年IBM X-Force曾曝光伊朗黑客的培训视频——但此次事件规模更大，涉及朝鲜APT（高级持续威胁）组织的罕见内幕。

泄露内容分析