Se cree que un actor de amenazas patrocinado por el estado de Corea del Norte conocido como Kimsky (también conocido como Velvet Chorima) fue responsable de una nueva ronda de ataques cibernéticos dirigidos a militares y empresas de Corea del Sur entre marzo y abril de 2026.
«Kimsuky empleó una variedad de tácticas de ingeniería social personalizadas, incluida la falsificación de páginas de instalación de software de seguridad y la creación de páginas de reuniones Webex falsas utilizando horarios de reuniones legítimos», dijo ENKI en un análisis publicado esta semana.
Se descubrió que el ataque entregaba una variante de una conocida familia de malware llamada HTTPSpy haciéndose pasar por un instalador de software de seguridad coreano. Esta es una táctica que los actores de amenazas han empleado constantemente desde 2023.
En la campaña más reciente, observada en marzo de 2026, el atacante propagó una carga útil maliciosa a través de una página web falsa que se hacía pasar por una página de instalación de software de seguridad para un servicio de mensajería B2B de Corea del Sur. Dada la naturaleza del señuelo, se sospecha que esta actividad pudo haber sido diseñada específicamente para identificar administradores de mensajería dentro de un entorno corporativo.
La página afirma ofrecer dos herramientas de seguridad: un firewall y un programa de seguridad de teclado. Cuando un usuario desprevenido inicia la descarga, descarga uno de los dos archivos ejecutables disfrazados de nProtect Online Security y AhnLab Safe Transaction (ASTx): ‘nos-setup.exe’ y ‘astx-setup.exe’. A pesar de los diferentes nombres, el comportamiento malicioso que conllevan es el mismo.
La función principal del binario es iniciar la carga útil DLL de segunda etapa (‘MemLoader.dll’) a través de ‘regsvr32.exe’. Luego se ejecuta un script por lotes para eliminar el binario del disco. La DLL utiliza una tarea programada para establecer persistencia en el host y se conecta a un servidor de comando y control (C2) para recuperar una carga útil aún desconocida.
«Los atacantes probablemente monitorearon repetidas solicitudes GET del malware y entregaron selectivamente cargas útiles a víctimas específicas», dijo ENKI.
En otra campaña observada en abril de 2026, supuestamente se utilizó una página web falsa que imitaba a Cisco Webex para mostrar un mensaje emergente que instaba a las víctimas a descargar y ejecutar un script para solucionar los problemas de acceso a la cámara. Cuando ejecute esto, obtendrá un archivo ZIP que contiene un archivo JavaScript (JSE) cifrado (‘fix-camera.jse’).
Cuando se ejecuta el archivo JSE, implementa un descargador de PowerShell intermedio (‘mTSTCv8.mdxm’), que luego realiza comprobaciones antianálisis y se conecta al servidor C2 para recuperar la siguiente etapa del malware (‘engine.dat’ o ‘spyInster.dll’). En la etapa final, la DLL elimina un componente del cargador (‘cacheMon.dat’) y ejecuta HTTPSpy en el sistema comprometido.
HTTPSpy es un troyano de acceso remoto con todas las funciones que admite una amplia gama de funciones, incluida la ejecución de comandos de shell, la carga/descarga de archivos, la ejecución de procesos, la captura de capturas de pantalla, la inyección de rutas DLL en procesos PID específicos y el borrado de los puntos finales.
Esta no es la primera vez que Kimsuky presenta HTTPSpy. CrowdStrike dijo en su Informe sobre el panorama de amenazas en Europa de 2025 que el grupo de piratas informáticos probablemente apuntó a los empleados del fabricante de defensa alemán a través de una campaña de phishing de credenciales que implementó malware entre mayo de 2024 y al menos septiembre de 2024. El primer uso de HTTPSpy se remonta a 2022.
Al mismo tiempo, el malware también coloca y abre un archivo HTML llamado «meeting.html» e inmediatamente redirige a la víctima a una sala de reuniones de Webex. Al acceder a la URL, se abre una sala de reuniones de Webex genuina asociada con un evento programado real que tuvo lugar aproximadamente al mismo tiempo.
«Esto indica que el atacante puede haber comprometido el dispositivo o la cuenta de un miembro del servicio para obtener el calendario de la reunión y luego haber creado una página de reunión falsa para distribuir malware a otros asistentes», dijo la firma de ciberseguridad.
ENKI dijo que también descubrió una página web falsa adicional que consulta un servidor local configurado por el malware en la máquina de la víctima a través de JSONP (JSON con relleno) para verificar el estado de ejecución del malware y mostrar un mensaje de instalación si el malware no se está ejecutando. Esta tecnología tiene el nombre en código JSONPing. Sin embargo, se desconoce la naturaleza exacta del malware descargado ya que la URL está actualmente inactiva.
«Kimsuky fue más allá de la simple distribución de malware e introdujo mecanismos sofisticados para maximizar el éxito de la entrega, incluida la verificación de infecciones en tiempo real mediante JSONPing y la creación de páginas falsas utilizando horarios de reuniones robados», dijo ENKI.
Kimsuky evoluciona con HelloDoor y HttpMalice
La divulgación se produce cuando Kaspersky detalló su uso de túneles de Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, modelos de lenguaje grande (LLM) y el lenguaje de programación Rust en su última campaña, destacando su continua adaptación y evolución.
«Específicamente, Kimsuky aprovechó los mecanismos legítimos de túnel VS Code para establecer persistencia y distribuyó la herramienta de gestión y monitoreo remoto de código abierto DWAgent para actividades posteriores a la explotación», dijo la firma rusa de ciberseguridad. «Estas actividades afectaron a varios sectores en Corea del Sur, afectando tanto a organizaciones públicas como privadas».
Se descubrió que la cadena de ataque dependía de varios droppers escritos en JSE, PIF, SCR y EXE para entregar dos amplias familias de malware: PebbleDash y AppleSeed. Si bien también se han registrado ataques de PebbleDash contra organizaciones de defensa en Brasil y Alemania, el clúster AppleSeed se dirige principalmente a agencias gubernamentales.
Algunas de las principales familias de malware distribuidas por droppers son:
HelloDoor es una variante de PebbleDash basada en Rust identificada por primera vez en agosto de 2025 y parece haber sido desarrollada utilizando LLM. Admite funciones básicas para configurar el directorio actual, suspender en intervalos de tiempo específicos y ejecutar comandos. La última variante de puerta trasera de PebbleDash, HttpMalice, apareció a más tardar en diciembre de 2025. HttpMalice tiene la capacidad de recopilar información sobre sistemas comprometidos, configurar la persistencia, realizar reconocimiento utilizando comandos nativos de Windows, capturar capturas de pantalla, cargar cargas útiles descargadas en la memoria, ejecutar comandos y extraer resultados de ejecución. HttpTroy, una puerta trasera entregada a través de un cargador llamado MemLoad, se puede utilizar para cargar/descargar archivos, realizar capturas de pantalla, ejecutar comandos, cargar archivos ejecutables en la memoria, invertir el shell, finalizar procesos y eliminar rastros. AppleSeed viene en dos variaciones: Dropper y Spy. El dropper es responsable de descargar malware adicional y ejecutar comandos recibidos del servidor C2. La versión Spy recopila información confidencial, como documentos, capturas de pantalla, pulsaciones de teclas y una lista de unidades USB. Esto también incluye la recopilación de datos del directorio C:\GPKI, reflejando una funcionalidad similar implementada en Troll Stealer. HappyDoor es una versión avanzada de AppleSeed que apareció por primera vez en 2021.
Otro cambio notable en las tácticas implica explotar la funcionalidad legítima de túnel remoto de VS Code para establecer un acceso remoto encubierto a los dispositivos de las víctimas, eliminando así la necesidad de canales C2 tradicionales basados en malware. Darktrace y Logpresso también destacan este enfoque.
«Nuestro análisis muestra que los atacantes conservan el acceso al código fuente original del grupo de malware y la capacidad de modificarlo», dijo el investigador de Kaspersky Sojun Ryu. «Los dos grupos tienen sectores objetivo superpuestos que abarcan las industrias de defensa, militar, gubernamental, médica, mecánica y energética».
«Los clústeres AppleSeed han cambiado su enfoque hacia la exfiltración de datos, con la extracción de certificados GPKI convirtiéndose en una característica de firma, mientras que los clústeres PebbleDash han demostrado capacidades avanzadas de control remoto y un conjunto cada vez mayor de objetivos».
Source link
