שני האקרים, המכונים Saber ו-cyb0rg, פרצו למחשב של האקר המועסק על ידי ממשלת קוריאה הצפונית והדליפו את תכולתו לרשת, מה שמאפשר מבט נדיר לתוך פעילות ריגול סייבר של המדינה. הפרטים פורסמו בגיליון האחרון של מגזין הסייבר הוותיק Phrack, שחולק בשבוע שעבר בכנס ההאקרים Def Con בלאס וגאס.
לפי הכתבה שפרסמו השניים, הם הצליחו להשתלט על תחנת עבודה שכללה מכונה וירטואלית ושרת פרטי וירטואלי השייכים להאקר אותו הם מכנים "קים". לטענתם, קים הוא חבר בקבוצת הריגול הממשלתית Kimsuky – הידועה גם בשמות APT43 ו-Thallium – שפועלת תחת מנגנון המודיעין של פיונגיאנג. הנתונים שהופקו מהפריצה הועברו לארגון DDoSecrets, האוסף ושומר דליפות מידע המוגדרות כבעלות עניין ציבורי.
Kimsuky ידועה בפעילות מתמשכת נגד עיתונאים, גופי ממשל וחברות בדרום קוריאה ובמדינות נוספות. פעילותה כוללת גם חדירות לרשתות של ארגונים זרים, איסוף מודיעין ופעולות במאפיינים פליליים, כגון גניבת מטבעות קריפטוגרפיים והעברתם למימון תוכנית הגרעין הצפון קוריאנית.
ההאקרים כתבו כי המידע שהשיגו כולל כתובות דוא"ל, סיסמאות, כלים ותוכנות פריצה, מדריכים פנימיים ומסמכים טכניים נוספים. עוד הם ציינו כי נמצאו עדויות לפריצות שביצעה Kimsuky לרשתות ממשלתיות וחברות בדרום קוריאה. אחד הממצאים הבולטים, לטענתם, הוא שיתוף פעולה בין הקבוצה לבין האקרים סינים, כולל שימוש בכלים ושיטות משותפים.
הזיהוי של "קים" כפעיל בצפון קוריאה התבסס, לדבריהם, על "ארטיפקטים ורמזים" טכניים: קבצי תצורה, שמות דומיין שיוחסו בעבר ל-Kimsuky ודפוסי עבודה קבועים – התחברות סביב השעה 09:00 וניתוק בסביבות 17:00 לפי שעון פיונגיאנג. פניות לכתובות הדוא"ל המיוחסות ל"קים" לא נענו.
