El grupo de hackers norcoreano Kimsuky ha lanzado ataques sofisticados contra entidades militares y corporativas de Corea del Sur utilizando ingeniería social y páginas falsas de Webex y software de seguridad. Emplean el troyano HTTPSpy y otras familias de malware como AppleSeed y PebbleDash para el robo de datos y el control remoto. Además, el grupo ha evolucionado usando herramientas legítimas de VS Code, lenguaje Rust e inteligencia artificial para evadir detecciones.




El actor de amenazas patrocinado por el estado norcoreano conocido como Kimsuky (también llamado Velvet Chollima) ha sido atribuido a un nuevo conjunto de ciberataques dirigidos a entidades militares y corporativas de Corea del Sur durante marzo y abril de 2026.

"Kimsuky empleó una gama de tácticas de ingeniería social personalizadas, como la suplantación de páginas de instalación de software de seguridad y la creación de una página falsa de reuniones de Webex que aprovechaba un calendario de reuniones legítimo", dijo ENKI en un análisis publicado esta semana.

Se ha descubierto que los ataques distribuyen una variante de una familia de malware conocida denominada HTTPSpy, disfrazándola como instaladores de software de seguridad surcoreano, una táctica que el actor de amenazas ha adoptado constantemente desde 2023.

En la última campaña observada en marzo de 2026, se ha encontrado que el adversario propaga cargas útiles maliciosas a través de una página web falsa que suplanta la página de instalación de software de seguridad de un servicio de mensajería B2B de Corea del Sur. Dada la naturaleza del señuelo, se sospecha que la actividad puede haber sido diseñada específicamente para seleccionar administradores de mensajería dentro de entornos corporativos.

La página afirma ofrecer dos herramientas de seguridad: un firewall y un programa de seguridad de teclado. Una vez que los usuarios desprevenidos inician la descarga, se descarga cualquiera de los dos ejecutables - "nos-setup.exe" y "astx-setup.exe" - que se hacen pasar por nProtect Online Security y AhnLab Safe Transaction (ASTx). A pesar de las diferencias en el nombre, el comportamiento malicioso integrado en ellos es idéntico.

La responsabilidad principal de los binarios es lanzar una carga útil DLL de segunda etapa ("MemLoader.dll") a través de "regsvr32.exe", tras lo cual se ejecuta un script por lotes para eliminarse del disco. La DLL establece la persistencia en el host mediante una tarea programada y contacta con un servidor de comando y control (C2) para recuperar una carga útil aún desconocida.

"El atacante probablemente monitoreó las solicitudes GET recurrentes del malware y entregó cargas útiles selectivamente a víctimas específicas", dijo ENKI.

En otra campaña observada en abril de 2026, se dice que se utilizó una página web falsa que imitaba a Cisco Webex para mostrar un mensaje emergente instando a la víctima a descargar y ejecutar un script para solucionar problemas de acceso a la cámara. Hacerlo resulta en la obtención de un archivo ZIP que contiene un archivo JavaScript (JSE) cifrado ("fix-camera.jse").



La ejecución del archivo JSE resulta en el despliegue de un descargador intermedio ("mTSTCv8.mdxm") utilizando PowerShell, que luego ejecuta comprobaciones anti-análisis y contacta con un servidor C2 para obtener el malware de la siguiente etapa ("engine.dat" o "spyInster.dll"). En la etapa final, la DLL suelta un componente cargador ("cacheMon.dat") que, a su vez, ejecuta HTTPSpy en el sistema comprometido.

HTTPSpy es un troyano de acceso remoto completo que admite una amplia gama de capacidades para ejecutar comandos de shell, subir/descargar archivos, ejecutar procesos, capturar capturas de pantalla, inyectar rutas de DLL en procesos PID especificados y borrarse del endpoint.

Esta no es la primera vez que Kimsuky despliega HTTPSpy. En su Informe del Panorama de Amenazas Europeas 2025, CrowdStrike dijo que el grupo de hackers probablemente tuvo como objetivo a empleados de un fabricante de defensa alemán a través de una campaña de phishing de credenciales que desplegó el malware entre mayo de 2024 y al menos septiembre de 2024. El primer uso de HTTPSpy se remonta a 2022.

Simultáneamente, el malware también suelta y abre un archivo HTML llamado "meeting.html", que redirige inmediatamente a la víctima a una sala de reuniones de Webex. Acceder a la URL abre una sala de reuniones de Webex legítima asociada con un evento real programado que tuvo lugar aproximadamente al mismo tiempo.

"Esto indica que el atacante probablemente comprometió el dispositivo o la cuenta de un miembro del servicio para obtener el calendario de reuniones, y luego creó una página de reuniones falsa para distribuir malware a los demás asistentes", dijo la empresa de ciberseguridad.

ENKI dijo que también descubrió páginas web falsas adicionales que consultan un servidor local configurado por el malware en la máquina de la víctima a través de JSONP (JSON with Padding) para verificar el estado de ejecución del malware y mostrar un aviso de instalación si no se está ejecutando. La técnica ha sido nombrada JSONPing. Sin embargo, la naturaleza exacta del malware descargado sigue siendo desconocida ya que la URL está actualmente inactiva.

"Kimsuky fue más allá de la simple distribución de malware, introduciendo mecanismos sofisticados para maximizar el éxito de la entrega, incluida la verificación de la infección en tiempo real a través de JSONPing y la creación de una página falsa utilizando un calendario de reuniones robado", dijo ENKI.

Kimsuky evoluciona con Hellodoor y Httpmalice

La revelación llega mientras Kaspersky detallaba el uso por parte del actor de amenazas de túneles de Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, modelos de lenguaje extensos (LLM) y el lenguaje de programación Rust en sus últimas campañas, destacando su continua adaptación y evolución.



"Específicamente, Kimsuky aprovechó los mecanismos legítimos de túnel de VS Code para establecer la persistencia y distribuyó la herramienta de gestión y monitoreo remoto de código abierto DWAgent para actividades de post-explotación", dijo la empresa rusa de ciberseguridad en su reporte. "Estas actividades afectaron a varios sectores en Corea del Sur, impactando tanto a entidades públicas como privadas".

Se ha encontrado que las cadenas de ataque dependen de una variedad de droppers escritos en JSE, PIF, SCR y EXE para entregar dos amplias familias de malware: PebbleDash y AppleSeed. Mientras que los ataques de PebbleDash también se han registrado contra organizaciones de defensa en Brasil y Alemania, el grupo AppleSeed se ha dirigido principalmente a organizaciones gubernamentales.

Algunas de las familias de malware clave entregadas por los droppers son las siguientes:

* HelloDoor, una variante de PebbleDash basada en Rust identificada por primera vez en agosto de 2025 y probablemente desarrollada utilizando un LLM. Admite funciones básicas para establecer el directorio actual, dormir durante un intervalo de tiempo específico y ejecutar comandos.
* HttpMalice, la variante de backdoor más reciente de PebbleDash, surgió a más tardar en diciembre de 2025. Viene con capacidades para recopilar información sobre el sistema comprometido, configurar la persistencia, realizar reconocimientos utilizando comandos nativos de Windows, capturar capturas de pantalla, cargar cargas útiles descargadas en la memoria, ejecutar comandos y exfiltrar la salida de la ejecución.
* HttpTroy, un backdoor entregado a través de un cargador llamado MemLoad, permite la carga/descarga de archivos, la captura de capturas de pantalla, la ejecución de comandos, la carga de ejecutables en memoria, shell inversa, terminación de procesos y eliminación de rastros.
* AppleSeed, que viene en dos variantes: Dropper y Spy. El Dropper es responsable de descargar malware adicional y ejecutar comandos recibidos de su servidor C2. La versión Spy recopila información sensible como documentos, capturas de pantalla, pulsaciones de teclas y listas de unidades USB. Esto también incluye la recolección de datos del directorio C:\GPKI, imitando una función similar implementada en Troll Stealer.
* HappyDoor, una versión avanzada de AppleSeed que apareció por primera vez en 2021 según reportes.



Otro cambio táctico notable implica el abuso de la función legítima de Túnel Remoto de VS Code para establecer un acceso remoto encubierto al dispositivo de la víctima, eliminando así la necesidad de canales C2 tradicionales basados en malware. Este enfoque también ha sido destacado por Darktrace y Logpresso en sus análisis.

"Nuestro análisis muestra que el actor conserva el acceso al código fuente original de los grupos de malware y la capacidad de modificarlo", dijo el investigador de Kaspersky Sojun Ryu. "Dos grupos tienen sectores objetivo superpuestos que abarcan las industrias de defensa, militar, gubernamental, médica, de maquinaria y energía".

"El grupo AppleSeed está desplazando su enfoque hacia la exfiltración de datos, y la extracción de certificados GPKI se ha convertido en una capacidad distintiva. Mientras tanto, el grupo PebbleDash demuestra capacidades avanzadas de control remoto y un conjunto creciente de objetivos".

Fuente:
THN