De door de Noord-Koreaanse staat gesponsorde dreigingsacteur, bekend als Kimsuky (ook bekend als Velvet Chollima) wordt toegeschreven aan een nieuwe reeks cyberaanvallen gericht op Zuid-Koreaanse militaire en bedrijfsentiteiten in de periode maart en april 2026.
“Kimsuky gebruikte een reeks op maat gemaakte social engineering-tactieken, zoals het spoofen van installatiepagina’s voor beveiligingssoftware en het maken van een nep-Webex-vergaderingspagina die gebruik maakte van een legitiem vergaderschema”, zei ENKI in een analyse die deze week werd gepubliceerd.
Er is vastgesteld dat de aanvallen een variant opleveren van een bekende malwarefamilie genaamd HTTPSpy door het te vermommen als installatieprogramma’s van Zuid-Koreaanse beveiligingssoftware, een tactiek die de bedreigingsacteur sinds 2023 consequent heeft toegepast.
In de laatste campagne die in maart 2026 werd waargenomen, bleek dat de tegenstander kwaadaardige ladingen verspreidde via een valse webpagina die zich voordeed als de installatiepagina voor beveiligingssoftware van een Zuid-Koreaanse B2B-berichtenservice. Gezien de aard van de aantrekkingskracht wordt vermoed dat de activiteit specifiek is ontworpen om berichtenbeheerders binnen bedrijfsomgevingen te onderscheiden.
De pagina beweert twee beveiligingshulpmiddelen te bieden: een firewall en een toetsenbordbeveiligingsprogramma. Zodra nietsvermoedende gebruikers de download starten, resulteert dit in het downloaden van een van de twee uitvoerbare bestanden – “nos-setup.exe” en “astx-setup.exe” – die zich voordoen als nProtect Online Security en AhnLab Safe Transaction (ASTx). Ondanks de verschillen in de naam is het kwaadaardige gedrag dat erin zit identiek.
De primaire verantwoordelijkheid van de binaire bestanden is het starten van een tweede fase DLL-payload (“MemLoader.dll”) via “regsvr32.exe”, waarna een batchscript wordt uitgevoerd om zichzelf van schijf te verwijderen. De DLL brengt persistentie op de host tot stand met behulp van een geplande taak en neemt contact op met een command-and-control (C2)-server om een nog onbekende payload op te halen.
“De aanvaller heeft waarschijnlijk de terugkerende GET-verzoeken van de malware gevolgd en selectief payloads aan specifieke slachtoffers geleverd”, aldus ENKI.
In een andere campagne die in april 2026 werd waargenomen, zou een nagemaakte webpagina die Cisco Webex nabootst, zijn gebruikt om een pop-upbericht weer te geven waarin het slachtoffer werd aangespoord een script te downloaden en uit te voeren om problemen met de toegang tot de camera op te lossen. Als u dit doet, wordt een ZIP-archief opgehaald dat een gecodeerd JavaScript-bestand (JSE) bevat (“fix-camera.jse”).
De uitvoering van het JSE-bestand resulteert in de inzet van een tussenliggende downloader (“mTSTCv8.mdxm”) met behulp van PowerShell, die vervolgens anti-analysecontroles uitvoert en contact maakt met een C2-server om de volgende fase-malware op te halen (“engine.dat” of “spyInster.dll”). In de laatste fase dropt de DLL een loader-component (“cacheMon.dat”) die op zijn beurt HTTPSpy uitvoert op het aangetaste systeem.
HTTPSpy is een trojan voor externe toegang met volledige functionaliteit die een breed scala aan mogelijkheden ondersteunt om shell-opdrachten uit te voeren, bestanden te uploaden/downloaden, processen uit te voeren, schermafbeeldingen vast te leggen, DLL-paden in gespecificeerde PID-processen te injecteren en zichzelf van het eindpunt te wissen.
Dit is niet de eerste keer dat Kimsuky HTTPSpy heeft geïmplementeerd. In zijn European Threat Landscape Report uit 2025 zei CrowdStrike dat de hackgroep zich waarschijnlijk tussen mei 2024 en ten minste september 2024 richtte op de werknemers van een Duitse defensiefabrikant via een phishing-campagne met inloggegevens, waarbij de malware werd ingezet. Het eerste gebruik van HTTPSpy dateert uit 2022.
Tegelijkertijd dropt de malware ook een HTML-bestand met de naam “meeting.html”, dat het slachtoffer onmiddellijk doorstuurt naar een Webex-vergaderruimte. Als u de URL opent, wordt een legitieme Webex-vergaderruimte geopend die is gekoppeld aan een daadwerkelijk geplande gebeurtenis die rond dezelfde tijd plaatsvond.
“Dit geeft aan dat de aanvaller waarschijnlijk het apparaat of account van een servicelid heeft gecompromitteerd om het vergaderschema te verkrijgen en vervolgens een nepvergaderingspagina heeft gemaakt om malware onder de andere aanwezigen te verspreiden”, aldus het cyberbeveiligingsbedrijf.
ENKI zei dat het ook aanvullende valse webpagina’s heeft ontdekt die via JSONP (JSON met Padding) een lokale server opvragen die door de malware op de machine van het slachtoffer is opgezet om de uitvoeringsstatus van de malware te verifiëren en een installatieprompt weer te geven als deze niet actief is. De techniek heeft de codenaam JSONPing gekregen. De exacte aard van de gedownloade malware blijft echter onbekend, aangezien de URL momenteel inactief is.
“Kimsuky ging verder dan de eenvoudige distributie van malware en introduceerde geavanceerde mechanismen om het succes van de levering te maximaliseren, waaronder realtime infectieverificatie via JSONPing en het maken van een neppagina met behulp van een gestolen vergaderschema”, aldus ENKI.
Kimsuky evolueert met HelloDoor en HttpMalice
De onthulling komt op het moment dat Kaspersky het gebruik van Microsoft Visual Studio Code (VS Code)-tunneling, Cloudflare Quick Tunnels, DWAgent, grote taalmodellen (LLM’s) en de Rust-programmeertaal door de bedreigingsacteur in zijn nieuwste campagnes heeft beschreven, waarbij de voortdurende aanpassing en evolutie ervan wordt benadrukt.
“In het bijzonder maakte Kimsuky gebruik van legitieme VS Code-tunnelingmechanismen om persistentie tot stand te brengen en verspreidde hij de open-source DWAgent-tool voor monitoring en beheer op afstand voor post-exploitatieactiviteiten”, aldus het Russische cyberbeveiligingsbedrijf. “Deze activiteiten hadden gevolgen voor verschillende sectoren in Zuid-Korea en hadden gevolgen voor zowel publieke als private entiteiten.”
Er is vastgesteld dat aanvalsketens afhankelijk zijn van een verscheidenheid aan droppers geschreven in JSE, PIF, SCR en EXE om twee brede malwarefamilies te leveren: PebbleDash en AppleSeed. Hoewel er ook PebbleDash-aanvallen zijn geregistreerd tegen defensieorganisaties in Brazilië en Duitsland, heeft het AppleSeed-cluster zich vooral gericht op overheidsorganisaties.
Enkele van de belangrijkste malwarefamilies die door de droppers worden geleverd, zijn als volgt:
- HalloDooreen op Rust gebaseerde PebbleDash-variant die voor het eerst werd geïdentificeerd in augustus 2025 en waarschijnlijk werd ontwikkeld met behulp van een LLM. Het ondersteunt basisfunctionaliteit om de huidige map in te stellen, gedurende een specifiek tijdsinterval te slapen en opdrachten uit te voeren.
- Httpkwaadde nieuwste backdoor-variant van PebbleDash, verscheen uiterlijk in december 2025. Het wordt geleverd met mogelijkheden om informatie te verzamelen over het gecompromitteerde systeem, persistentie in te stellen, verkenningen uit te voeren met behulp van native Windows-opdrachten, schermafbeeldingen vast te leggen, gedownloade payloads in het geheugen te laden, opdrachten uit te voeren en de uitvoer van de uitvoering te exfiltreren.
- HttpTroyeen achterdeur geleverd via een lader met de naam MemLoad, maakt het uploaden/downloaden van bestanden, het vastleggen van schermafbeeldingen, het uitvoeren van opdrachten, het in het geheugen laden van uitvoerbare bestanden, reverse shell, procesbeëindiging en het verwijderen van sporen mogelijk.
- Appelzaaddie in twee varianten verkrijgbaar is: Dropper en Spy. De Dropper is verantwoordelijk voor het downloaden van aanvullende malware en het uitvoeren van opdrachten die hij ontvangt van zijn C2-server. De Spy-versie verzamelt gevoelige informatie zoals documenten, schermafbeeldingen, toetsaanslagen en lijsten met USB-drives. Dit omvat ook het verzamelen van gegevens uit de map C:GPKI, waarbij een vergelijkbare functie wordt gespiegeld die is geïmplementeerd in Troll Stealer.
- BlijDooreen geavanceerde versie van AppleSeed die voor het eerst opdook in 2021.
Een andere opmerkelijke tactische verschuiving betreft het misbruik van de legitieme VS Code Remote Tunneling-functie om heimelijke toegang op afstand tot het apparaat van het slachtoffer tot stand te brengen, waardoor de behoefte aan traditionele, op malware gebaseerde C2-kanalen wordt geëlimineerd. Deze aanpak is ook benadrukt door Darktrace en Logpresso.
“Uit onze analyse blijkt dat de actor toegang behoudt tot de originele broncode van de malwareclusters en de mogelijkheid heeft om deze aan te passen”, aldus Kaspersky-onderzoeker Sojun Ryu. “Twee clusters hebben overlappende doelsectoren die zich uitstrekken over de defensie-, militaire, overheids-, medische, machine- en energie-industrie.”
“Het AppleSeed-cluster verlegt zijn focus naar data-exfiltratie, en de extractie van GPKI-certificaten is een handtekeningmogelijkheid geworden. Ondertussen demonstreert het PebbleDash-cluster geavanceerde mogelijkheden voor afstandsbediening en een groeiende reeks doelen.”
