Gezielte Kimsuky-Kampagnen gegen Suedkorea mit JSONPing und HTTPSpy

Foto des Autors

CyberSecureFox Editorial Team

Die nordkoreanische Gruppierung Kimsuky (auch bekannt als Velvet Chollima) führte im März und April 2026 eine Reihe gezielter Angriffe auf militärische und Unternehmensstrukturen in Suedkorea durch. Dabei kamen gefälschte Installationsseiten für Sicherheitssoftware, eine manipulierte Cisco-Webex-Oberfläche und eine neue Variante des Remote-Access-Trojaners HTTPSpy zum Einsatz. Nach Angaben des suedsuedkoreanischen Unternehmens ENKI nutzten die Angreifer einen Mechanismus zur Überprüfung einer Infektion in Echtzeit über JSONP-Requests – eine Technik, die den Namen JSONPing erhalten hat. Parallel dazu verzeichnete eine Untersuchung von Kaspersky eine Erweiterung des Kimsuky-Arsenals um Tunneling über VS Code, das Tool DWAgent und in Rust entwickelte Malware. Organisationen aus den Bereichen Verteidigung, Staat und Energie sollten ihre Netzwerke umgehend auf Indikatoren einer Kompromittierung im Zusammenhang mit diesen Kampagnen überprüfen.

Maerz-Kampagne: Tarnung als Sicherheitssoftware

Im Maerz 2026 erstellte Kimsuky nach Angaben von ENKI eine gefälschte Webseite, die das Installationsportal der Sicherheitslösung eines suedsuedkoreanischen B2B-Messengers imitierte. Die Seite bot den Download zweier Werkzeuge an – einer Firewall und eines Programms zum Schutz der Tastatureingaben. Diese Art von Köder legt nahe, dass mutmaßlich Administratoren von unternehmensweiten Messaging-Systemen im Visier standen.

Beim Herunterladen erhielt das Opfer eine von zwei ausführbaren Dateien – nos-setup.exe (tarnte sich als nProtect Online Security) oder astx-setup.exe (imitierte AhnLab Safe Transaction). Trotz unterschiedlicher Namen war das schädliche Verhalten beider Dateien identisch: Start eines DLL-Moduls der zweiten Stufe, MemLoader.dll, über das Systemtool regsvr32.exe, gefolgt von der Löschung der Ursprungsdatei durch ein Batch-Skript. Die DLL verankerte sich über eine geplante Aufgabe im System und nahm Kontakt zu einem Command-and-Control-Server auf, um weitere Payloads zu beziehen.

Die Taktik, Malware als suedsuedkoreanische Sicherheitslösungen zu tarnen, ist für Kimsuky kein neues Vorgehen. Nach Erkenntnissen von AhnLab ASEC und ALYac setzt die Gruppe diesen Ansatz konsequent mindestens seit 2023 ein.

April-Kampagne: Gefälschter Webex und Diebstahl von Besprechungsplänen

Im April 2026 wechselten die Angreifer auf einen anderen Social-Engineering-Vektor: Eine gefälschte Cisco-Webex-Seite zeigte ein Pop-up-Fenster mit dem Angebot, ein Script zur „Behebung von Kameraproblemen“ herunterzuladen. Das Ausführen des Scripts führte zum Download eines ZIP-Archivs mit der verschlüsselten JavaScript-Datei fix-camera.jse.

Die Infektionskette sah wie folgt aus:

  1. Die Ausführung von fix-camera.jse entpackte über PowerShell einen Zwischen-Loader mTSTCv8.mdxm.
  2. Der Loader führte Prüfungen auf Analysewerkzeuge durch und forderte vom Command-and-Control-Server die nächste Stufe an – die Dateien engine.dat oder spyInster.dll.
  3. Die finale DLL installierte die Loader-Komponente cacheMon.dat, die wiederum HTTPSpy direkt startete.

Bemerkenswert ist dabei: Parallel zur Infektion öffnete die Malware die HTML-Datei meeting.html, die das Opfer in einen tatsächlichen Webex-Raum mit einer real geplanten Besprechung weiterleitete. Nach Einschätzung von ENKI bedeutet dies, dass die Angreifer mutmaßlich das Gerät oder das Konto eines Soldaten kompromittiert, Zugriff auf den Besprechungsplan erhalten und diesen genutzt haben, um einen überzeugenden Köder für die übrigen Teilnehmer derselben Sitzung zu erstellen.

HTTPSpy und die JSONPing-Technik

HTTPSpy ist ein voll ausgestatteter Remote-Access-Trojaner mit Unterstützung für das Ausführen von Shell-Befehlen, Hoch- und Herunterladen von Dateien, Starten von Prozessen, Erstellen von Screenshots, DLL-Injektion in angegebene Prozesse per PID sowie Selbstentfernung vom Endpunkt. Nach dem CrowdStrike-Bericht zur europäischen Bedrohungslandschaft 2025 setzte Kimsuky HTTPSpy mutmaßlich für Angriffe auf Mitarbeitende eines deutschen Rüstungsunternehmens im Zeitraum von Mai bis September 2024 ein.

Besonders bemerkenswert ist die Technik JSONPing: ENKI entdeckte weitere gefälschte Webseiten, die über JSONP-Requests einen lokalen Server abfragten, den die Malware auf dem Rechner des Opfers bereitstellte, um den Infektionsstatus zu überprüfen. War die Malware nicht aktiv, zeigte die Seite erneut eine Aufforderung zur Installation an. Dieser Verifizierungsmechanismus in Echtzeit ermöglichte es den Angreifern, sich von der erfolgreichen Zustellung zu überzeugen und den Versuch bei Bedarf zu wiederholen.

Evolution des Arsenals: von AppleSeed zu HelloDoor

Parallel zum ENKI-Bericht veröffentlichte Kaspersky eine detailierte Analyse zweier zentraler Malware-Cluster von Kimsuky – PebbleDash und AppleSeed –, die eine deutliche Weiterentwicklung zeigen:

  • HelloDoor – eine PebbleDash-Variante in Rust, erstmals im August 2025 entdeckt. Nach Einschätzung der Forschenden vermutlich unter Verwendung eines Large Language Models entwickelt.
  • HttpMalice – der jüngste Backdoor-Ableger der PebbleDash-Familie (spätestens im Dezember 2025), der Systeminformationen sammeln, Persistenz herstellen, mit Bordmitteln von Windows Aufklärung betreiben, den Bildschirm erfassen, Payloads im Speicher laden und die Ergebnisse von Befehlen exfiltrieren kann.
  • HttpTroy – ein Backdoor mit Unterstützung für Reverse Shell, Dateidownloads, In-Memory-Ausführung und Spurenbeseitigung.
  • AppleSeed (Varianten Dropper und Spy) – die Spionagevariante sammelt Dokumente, Screenshots, Tastatureingaben, Listen angeschlossener USB-Datenträger sowie Daten aus dem Verzeichnis C:\GPKI, was auf ein gezieltes Interesse an staatlichen PKI-Zertifikaten hinweist.

Kaspersky registrierte außerdem den Einsatz des legitimen Tunnelmechanismus VS Code Remote Tunneling durch Kimsuky für verdeckten Remote-Zugriff – ein Vorgehen, das unabhängig von Darktrace und Logpresso bestätigt wurde. Dieser Ansatz macht klassische Kommunikationskanäle zu Command-and-Control-Servern überflüssig und erschwert die Erkennung erheblich.

Einschätzung der Auswirkungen

Nach Angaben von Kaspersky decken die beiden Malware-Cluster von Kimsuky weitgehend dieselben Zielsektoren ab: Verteidigung, Militär, Behörden, Gesundheitswesen, Maschinenbau und Energie. PebbleDash-Angriffe wurden nicht nur in Suedkorea, sondern auch gegen Rüstungsunternehmen in Brasilien und Deutschland beobachtet, was auf eine geografische Ausweitung der Operationen hindeutet. Beim Cluster AppleSeed verschiebt sich der Fokus nach Einschätzung der Forschenden stärker in Richtung Datenexfiltration, wobei das Abgreifen von GPKI-Zertifikaten zu einem charakteristischen Merkmal wird.

Der Einsatz realer Besprechungspläne zur Erstellung von Ködern bedeutet, dass die Kompromittierung eines einzigen Geräts zu einer Ketteninfektion aller Teilnehmenden von Arbeitsbesprechungen führen kann – ein besonders gefährliches Szenario für militärische und staatliche Einrichtungen.

Empfehlungen zum Schutz

  • Die Netzwerke auf das Vorhandensein von Dateien mit den in den Indikatoren genannten Namen prüfen: nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat, meeting.html.
  • Geplante Aufgaben auf verdächtige Einträge analysieren, die über regsvr32.exe angelegt wurden.
  • Den Einsatz von VS Code Remote Tunneling und Cloudflare Quick Tunnels in der Unternehmensumgebung einschränken oder überwachen – diese legitimen Dienste werden von Kimsuky aktiv zur Umgehung von Erkennungsmechanismen genutzt.
  • Die Ausführung von JSE-Dateien über Gruppenrichtlinien blockieren, sofern dieses Format nicht für Geschäftsprozesse benötigt wird.
  • Kontrollen für das Herunterladen von Sicherheitssoftware verschärfen: Die Installation von Schutzlösungen sollte ausschließlich aus verifizierten internen Repositories und nicht von externen Webseiten erfolgen.
  • Eine Prüfung des Verzeichnisses C:\GPKI auf unbefugte Zugriffe durchführen – das Abgreifen staatlicher PKI-Zertifikate ist ein vorrangiges Ziel des AppleSeed-Clusters.

Die Kimsuky-Kampagnen vom Maerz und April 2026 zeigen einen Wandel von breit gestreuter Malware-Verteilung hin zu chirurgisch präzisen Operationen: Diebstahl von Besprechungsplänen zur Erstellung überzeugender Köder, Infektionsprüfung in Echtzeit mittels JSONPing und der Missbrauch legitimer Entwicklungswerkzeuge zur Verschleierung von Steuerkanälen. Verteidigungs- und Regierungsorganisationen in Suedkorea sowie ihre internationalen Partner sollten ihre Umgebungen prioritär auf die genannten Indikatoren prüfen und die Nutzung von VS Code Remote Tunneling bis zum Abschluss der Untersuchungen einschränken.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen