Ataques dirigidos de Kimsuky: JSONPing, HTTPSpy y abuso de Webex

Foto del autor

CyberSecureFox Editorial Team

La agrupación norcoreana Kimsuky (también conocida como Velvet Chollima) llevó a cabo una serie de ataques dirigidos contra estructuras militares y corporativas de Corea del Sur en marzo–abril de 2026, empleando páginas falsas de instalación de software de seguridad, una interfaz falsa de Cisco Webex y una nueva variante del troyano de acceso remoto HTTPSpy. Según los datos de la empresa surcoreana ENKI, los atacantes utilizaron un mecanismo de verificación de infección en tiempo real a través de solicitudes JSONP, técnica que recibió el nombre de JSONPing. Paralelamente, una investigación de Kaspersky registró la ampliación del arsenal de Kimsuky mediante tunelización a través de VS Code, la herramienta DWAgent y malware escrito en Rust. Las organizaciones de los sectores de defensa, gubernamental y energético deben comprobar de inmediato sus redes en busca de indicadores de compromiso relacionados con estas campañas.

Campaña de marzo: camuflaje como software de seguridad

En marzo de 2026, según ENKI, Kimsuky creó una página web falsa que imitaba el portal de instalación de soluciones de seguridad de un mensajero B2B surcoreano. La página ofrecía descargar dos herramientas: un firewall y un programa de protección de la entrada por teclado. Esta elección de señuelo indica que, presumiblemente, el objetivo eran administradores de sistemas corporativos de mensajería.

Al descargar, la víctima recibía uno de dos archivos ejecutables: nos-setup.exe (se hacía pasar por nProtect Online Security) o astx-setup.exe (imitaba AhnLab Safe Transaction). A pesar de los nombres distintos, el comportamiento malicioso de ambos archivos era idéntico: ejecución del módulo DLL de segunda fase MemLoader.dll mediante la utilidad de sistema regsvr32.exe, seguida de la eliminación del archivo original mediante un script por lotes. La DLL se fijaba en el sistema a través de una tarea programada y establecía comunicación con el servidor de mando para recibir carga útil adicional.

La táctica de camuflar malware como soluciones de seguridad surcoreanas no es un recurso nuevo para Kimsuky. Según AhnLab ASEC y ALYac, el grupo aplica de forma sistemática este enfoque al menos desde 2023.

Campaña de abril: Webex falso y robo de agendas

En abril de 2026, los atacantes cambiaron a otro vector de ingeniería social: una página falsa de Cisco Webex mostraba una ventana emergente en la que se ofrecía descargar un script para «corregir problemas con la cámara». La ejecución del script daba lugar a la descarga de un archivo ZIP con el archivo JavaScript cifrado fix-camera.jse.

La cadena de infección era la siguiente:

  1. La ejecución de fix-camera.jse desplegaba un cargador intermedio mTSTCv8.mdxm mediante PowerShell.
  2. El cargador realizaba comprobaciones en busca de herramientas de análisis y se comunicaba con el servidor de mando para obtener la siguiente fase: los archivos engine.dat o spyInster.dll.
  3. La DLL final instalaba el componente cargador cacheMon.dat, que lanzaba directamente HTTPSpy.

Un detalle llamativo: simultáneamente a la infección, el malware abría el archivo HTML meeting.html, que redirigía a la víctima a una sala real de Webex con una reunión auténtica programada. Según la evaluación de ENKI, esto significa que los atacantes, presumiblemente, comprometieron el dispositivo o la cuenta de uno de los militares, obtuvieron acceso al calendario de reuniones y lo utilizaron para crear un señuelo convincente dirigido al resto de participantes en la reunión.

HTTPSpy y la técnica JSONPing

HTTPSpy es un troyano de acceso remoto completamente funcional, que admite la ejecución de comandos de shell, carga y descarga de archivos, lanzamiento de procesos, captura de pantallas, inyección de DLL en procesos especificados por PID y autoeliminación del equipo. Según el informe de CrowdStrike sobre el panorama de amenazas europeo de 2025, Kimsuky presuntamente utilizó HTTPSpy para atacar a empleados de una empresa alemana del sector defensa en el periodo de mayo a septiembre de 2024.

Merece especial atención la técnica JSONPing: ENKI descubrió páginas web falsas adicionales que, mediante solicitudes JSONP, se dirigían a un servidor local desplegado por el malware en la máquina de la víctima para comprobar el estado de infección. Si el malware no se estaba ejecutando, la página mostraba una nueva invitación a la instalación. Este mecanismo de verificación en tiempo real permitía a los atacantes asegurarse del éxito de la entrega y repetir el intento si era necesario.

Evolución del arsenal: de AppleSeed a HelloDoor

Paralelamente al informe de ENKI, Kaspersky publicó un análisis detallado de dos clústeres principales de malware de Kimsuky —PebbleDash y AppleSeed—, que demuestran una evolución significativa:

  • HelloDoor: variante de PebbleDash escrita en Rust, detectada por primera vez en agosto de 2025. Según los investigadores, presumiblemente desarrollada con ayuda de un gran modelo de lenguaje.
  • HttpMalice: el backdoor más reciente de la familia PebbleDash (no posterior a diciembre de 2025), capaz de recopilar información del sistema, lograr persistencia en el sistema, realizar reconocimiento con herramientas nativas de Windows, capturar la pantalla, cargar cargas útiles en memoria y exfiltrar los resultados de la ejecución de comandos.
  • HttpTroy: backdoor con soporte de reverse shell, carga de archivos, ejecución en memoria y eliminación de rastros.
  • AppleSeed (variantes Dropper y Spy): la variante de espionaje recopila documentos, capturas de pantalla, pulsaciones de teclas, listas de unidades USB y datos del directorio C:\GPKI, lo que indica un interés dirigido en los certificados PKI gubernamentales.

Kaspersky también registró el uso por parte de Kimsuky del mecanismo legítimo de tunelización VS Code Remote Tunneling para lograr acceso remoto encubierto, técnica confirmada de forma independiente por Darktrace y Logpresso. Este enfoque elimina la necesidad de canales tradicionales de comunicación con el servidor de mando, lo que dificulta considerablemente la detección.

Evaluación del impacto

Según Kaspersky, los dos clústeres de malware de Kimsuky abarcan sectores que se solapan: defensa, estructuras militares, organismos gubernamentales, sanidad, ingeniería mecánica y energía. Las campañas PebbleDash se han registrado no solo en Corea del Sur, sino también contra organizaciones de defensa en Brasil y Alemania, lo que evidencia una expansión geográfica de las operaciones. El clúster AppleSeed, según los investigadores, desplaza el foco hacia la exfiltración de datos, y la extracción de certificados GPKI se convierte en su función característica.

El uso de agendas reales de reuniones para crear señuelos significa que la compromisión de un solo dispositivo puede derivar en una infección en cascada de todos los participantes en las reuniones de trabajo, un escenario especialmente peligroso para estructuras militares y gubernamentales.

Recomendaciones de protección

  • Comprobar la presencia en la red de archivos con los siguientes nombres incluidos en la lista de indicadores: nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat, meeting.html.
  • Analizar las tareas programadas en busca de entradas sospechosas creadas mediante regsvr32.exe.
  • Restringir o monitorizar el uso de VS Code Remote Tunneling y Cloudflare Quick Tunnels en el entorno corporativo; estos servicios legítimos son utilizados activamente por Kimsuky para eludir la detección.
  • Bloquear la ejecución de archivos JSE mediante directivas de grupo si este formato no es necesario para los procesos de negocio.
  • Reforzar el control sobre las descargas de soluciones de seguridad: la instalación de software de protección debe realizarse únicamente desde repositorios internos verificados, y no desde páginas web externas.
  • Realizar una auditoría del directorio C:\GPKI en busca de accesos no autorizados; la extracción de certificados PKI gubernamentales es un objetivo prioritario del clúster AppleSeed.

Las campañas de Kimsuky de marzo–abril de 2026 demuestran una transición de la distribución masiva de malware a operaciones de precisión quirúrgica: robo de agendas para crear señuelos convincentes, verificación de la infección en tiempo real mediante JSONPing y abuso de herramientas de desarrollo legítimas para ocultar los canales de mando. Las organizaciones de los sectores de defensa y público de Corea del Sur, así como sus socios internacionales, deben dar prioridad a la comprobación de sus entornos en busca de los indicadores enumerados y restringir el uso de VS Code Remote Tunneling hasta que concluya la investigación.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio