Северокорейская группировка Kimsuky (также известная как Velvet Chollima) провела серию целевых атак на военные и корпоративные структуры Южной Кореи в марте–апреле 2026 года, задействовав поддельные страницы установки защитного ПО, фальшивый интерфейс Cisco Webex и новый вариант трояна удалённого доступа HTTPSpy. По данным южнокорейской компании ENKI, атакующие применили механизм проверки заражения в реальном времени через JSONP-запросы — технику, получившую название JSONPing. Параллельно исследование Kaspersky зафиксировало расширение арсенала Kimsuky за счёт туннелирования через VS Code, инструмента DWAgent и вредоносного ПО на языке Rust. Организациям из оборонного, государственного и энергетического секторов следует немедленно проверить свои сети на наличие индикаторов компрометации, связанных с этими кампаниями.
Мартовская кампания: маскировка под защитное ПО
В марте 2026 года, по данным ENKI, Kimsuky создала поддельную веб-страницу, имитирующую портал установки средств безопасности южнокорейского B2B-мессенджера. Страница предлагала загрузить два инструмента — межсетевой экран и программу защиты клавиатурного ввода. Такой выбор приманки указывает на то, что целью предположительно были администраторы корпоративных систем обмена сообщениями.
При загрузке жертва получала один из двух исполняемых файлов — nos-setup.exe (маскировался под nProtect Online Security) или astx-setup.exe (имитировал AhnLab Safe Transaction). Несмотря на разные названия, вредоносное поведение обоих файлов было идентичным: запуск DLL-модуля второго этапа MemLoader.dll через системную утилиту regsvr32.exe с последующим удалением исходного файла пакетным скриптом. DLL закреплялась в системе через запланированную задачу и устанавливала связь с командным сервером для получения дополнительной полезной нагрузки.
Тактика маскировки вредоносного ПО под южнокорейские средства защиты — не новый приём для Kimsuky. По данным AhnLab ASEC и ALYac, группировка последовательно применяет этот подход как минимум с 2023 года.
Апрельская кампания: поддельный Webex и кража расписания
В апреле 2026 года атакующие переключились на другой вектор социальной инженерии: фальшивая страница Cisco Webex отображала всплывающее окно с предложением загрузить скрипт для «исправления проблем с камерой». Запуск скрипта приводил к загрузке ZIP-архива с зашифрованным JavaScript-файлом fix-camera.jse.
Цепочка заражения выглядела следующим образом:
- Выполнение fix-camera.jse разворачивало промежуточный загрузчик mTSTCv8.mdxm через PowerShell.
- Загрузчик проводил проверки на наличие средств анализа и обращался к командному серверу за следующим этапом — файлами engine.dat или spyInster.dll.
- Финальная DLL устанавливала компонент-загрузчик cacheMon.dat, который запускал непосредственно HTTPSpy.
Примечательная деталь: одновременно с заражением вредоносное ПО открывало HTML-файл meeting.html, перенаправлявший жертву в реальную комнату Webex с настоящим запланированным совещанием. По оценке ENKI, это означает, что атакующие предположительно скомпрометировали устройство или учётную запись одного из военнослужащих, получили доступ к расписанию встреч и использовали его для создания убедительной приманки, нацеленной на остальных участников совещания.
HTTPSpy и техника JSONPing
HTTPSpy — полнофункциональный троян удалённого доступа, поддерживающий выполнение команд оболочки, загрузку и выгрузку файлов, запуск процессов, захват снимков экрана, инъекцию DLL в указанные процессы по PID и самоудаление с конечной точки. По данным отчёта CrowdStrike о европейском ландшафте угроз за 2025 год, Kimsuky предположительно использовала HTTPSpy для атаки на сотрудников немецкого оборонного предприятия в период с мая по сентябрь 2024 года.
Отдельного внимания заслуживает техника JSONPing: ENKI обнаружила дополнительные поддельные веб-страницы, которые через JSONP-запросы обращались к локальному серверу, развёрнутому вредоносным ПО на машине жертвы, для проверки статуса заражения. Если малварь не была запущена, страница отображала повторное приглашение к установке. Этот механизм верификации в реальном времени позволял атакующим убедиться в успешности доставки и при необходимости повторить попытку.
Эволюция арсенала: от AppleSeed до HelloDoor
Параллельно с отчётом ENKI, Kaspersky опубликовала детальный анализ двух основных кластеров вредоносного ПО Kimsuky — PebbleDash и AppleSeed, — демонстрирующих значительную эволюцию:
- HelloDoor — вариант PebbleDash на языке Rust, впервые обнаруженный в августе 2025 года. По оценке исследователей, предположительно разработан с использованием большой языковой модели.
- HttpMalice — новейший бэкдор семейства PebbleDash (не позднее декабря 2025 года), способный собирать системную информацию, закрепляться в системе, проводить разведку штатными средствами Windows, захватывать экран, загружать полезные нагрузки в память и эксфильтровать результаты выполнения команд.
- HttpTroy — бэкдор с поддержкой обратной оболочки, загрузки файлов, выполнения в памяти и удаления следов.
- AppleSeed (варианты Dropper и Spy) — шпионский вариант собирает документы, снимки экрана, нажатия клавиш, списки USB-накопителей и данные из каталога C:\GPKI, что указывает на целенаправленный интерес к государственным PKI-сертификатам.
Kaspersky также зафиксировала использование Kimsuky легитимного механизма туннелирования VS Code Remote Tunneling для скрытого удалённого доступа — приём, независимо подтверждённый Darktrace и Logpresso. Такой подход устраняет необходимость в традиционных каналах связи с командным сервером, значительно затрудняя обнаружение.
Оценка воздействия
По данным Kaspersky, два кластера вредоносного ПО Kimsuky охватывают пересекающиеся секторы: оборону, военные структуры, государственные органы, медицину, машиностроение и энергетику. Атаки PebbleDash зафиксированы не только в Южной Корее, но и против оборонных организаций в Бразилии и Германии, что свидетельствует о расширении географии операций. Кластер AppleSeed, по оценке исследователей, смещает фокус в сторону эксфильтрации данных, а извлечение сертификатов GPKI становится его характерной функцией.
Использование реальных расписаний совещаний для создания приманок означает, что компрометация одного устройства может привести к каскадному заражению всех участников рабочих встреч — особенно опасный сценарий для военных и государственных структур.
Рекомендации по защите
- Проверить наличие в сети файлов с именами из перечня индикаторов: nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat, meeting.html.
- Проанализировать запланированные задачи на предмет подозрительных записей, созданных через regsvr32.exe.
- Ограничить или мониторить использование VS Code Remote Tunneling и Cloudflare Quick Tunnels в корпоративной среде — эти легитимные сервисы активно используются Kimsuky для обхода обнаружения.
- Заблокировать выполнение JSE-файлов через групповые политики, если этот формат не требуется для бизнес-процессов.
- Усилить контроль загрузок средств безопасности: установка защитного ПО должна производиться только из верифицированных внутренних репозиториев, а не с внешних веб-страниц.
- Провести аудит каталога C:\GPKI на предмет несанкционированного доступа — извлечение государственных PKI-сертификатов является приоритетной целью кластера AppleSeed.
Кампании Kimsuky марта–апреля 2026 года демонстрируют переход от массового распространения вредоносного ПО к хирургически точным операциям: кража расписаний для создания убедительных приманок, проверка заражения в реальном времени через JSONPing, злоупотребление легитимными инструментами разработки для скрытия каналов управления. Организациям оборонного и государственного секторов Южной Кореи, а также их международным партнёрам, следует приоритетно проверить свои среды на перечисленные индикаторы и ограничить использование VS Code Remote Tunneling до завершения расследования.
