Північнокорейське угруповання Kimsuky (також відоме як Velvet Chollima) провело серію цільових атак на військові та корпоративні структури Південної Кореї в березні–квітні 2026 року, задіявши підроблені сторінки інсталяції захисного ПЗ, фальшивий інтерфейс Cisco Webex і новий варіант трояна віддаленого доступу HTTPSpy. За даними південнокорейської компанії ENKI, зловмисники застосували механізм перевірки зараження в режимі реального часу через JSONP-запити — техніку, що отримала назву JSONPing. Паралельно дослідження Kaspersky зафіксувало розширення арсеналу Kimsuky за рахунок тунелювання через VS Code, інструмента DWAgent і шкідливого ПЗ, написаного мовою Rust. Організаціям з оборонного, державного та енергетичного секторів слід негайно перевірити свої мережі на наявність індикаторів компрометації, пов’язаних із цими кампаніями.
Березнева кампанія: маскування під захисне ПЗ
У березні 2026 року, за даними ENKI, Kimsuky створила підроблену вебсторінку, що імітувала портал інсталяції засобів безпеки південнокорейського B2B-месенджера. Сторінка пропонувала завантажити два інструменти — фаєрвол і програму захисту клавіатурного введення. Такий вибір приманки свідчить про те, що ціллю, ймовірно, були адміністратори корпоративних систем обміну повідомленнями.
Під час завантаження жертва отримувала один із двох виконуваних файлів — nos-setup.exe (маскувався під nProtect Online Security) або astx-setup.exe (імітував AhnLab Safe Transaction). Попри різні назви, шкідлива поведінка обох файлів була ідентичною: запуск DLL-модуля другого етапу MemLoader.dll за допомогою системної утиліти regsvr32.exe з подальшим видаленням вихідного файла пакетним скриптом. DLL закріплювалася в системі через заплановане завдання й установлювала зв’язок із командним сервером для отримання додаткового корисного навантаження.
Тактика маскування шкідливого ПЗ під південнокорейські засоби захисту — не новий прийом для Kimsuky. За даними AhnLab ASEC та ALYac, угруповання послідовно застосовує цей підхід щонайменше з 2023 року.
Квітнева кампанія: підроблений Webex і крадіжка розкладу
У квітні 2026 року зловмисники перейшли до іншого вектора соціальної інженерії: підроблена сторінка Cisco Webex показувала спливне вікно з пропозицією завантажити скрипт для «усунення проблем із камерою». Запуск скрипта призводив до завантаження ZIP-архіву із зашифрованим JavaScript-файлом fix-camera.jse.
Ланцюжок зараження виглядав так:
- Виконання fix-camera.jse розгортало проміжний завантажувач mTSTCv8.mdxm через PowerShell.
- Завантажувач виконував перевірки на наявність засобів аналізу та звертався до командного сервера по наступний етап — файли engine.dat або spyInster.dll.
- Фінальна DLL інсталювала компонент-завантажувач cacheMon.dat, який уже безпосередньо запускав HTTPSpy.
Показова деталь: паралельно із зараженням шкідливе ПЗ відкривало HTML-файл meeting.html, який перенаправляв жертву до справжньої кімнати Webex із дійсно запланованою нарадою. За оцінкою ENKI, це означає, що зловмисники, імовірно, скомпрометували пристрій або обліковий запис одного з військовослужбовців, отримали доступ до розкладу зустрічей і використали його для створення переконливої приманки, націленої на інших учасників наради.
HTTPSpy і техніка JSONPing
HTTPSpy — повнофункціональний троян віддаленого доступу, що підтримує виконання команд оболонки, завантаження та вивантаження файлів, запуск процесів, захоплення знімків екрана, ін’єкцію DLL у вказані процеси за PID і самовидалення з кінцевої точки. За даними звіту CrowdStrike про європейський ландшафт загроз за 2025 рік, Kimsuky, імовірно, використовувала HTTPSpy для атаки на співробітників німецького оборонного підприємства в період з травня по вересень 2024 року.
Окремої уваги заслуговує техніка JSONPing: ENKI виявила додаткові підроблені вебсторінки, які через JSONP-запити зверталися до локального сервера, розгорнутого шкідливим ПЗ на машині жертви, для перевірки статусу зараження. Якщо малвар не було запущено, сторінка показувала повторне запрошення до інсталяції. Цей механізм верифікації в режимі реального часу давав змогу зловмисникам переконатися в успішності доставки й за потреби повторити спробу.
Еволюція арсеналу: від AppleSeed до HelloDoor
Паралельно зі звітом ENKI компанія Kaspersky оприлюднила детальний аналіз двох основних кластерів шкідливого ПЗ Kimsuky — PebbleDash і AppleSeed, — які демонструють суттєву еволюцію:
- HelloDoor — варіант PebbleDash, написаний мовою Rust, уперше виявлений у серпні 2025 року. За оцінкою дослідників, його, імовірно, розроблено із застосуванням великої мовної моделі.
- HttpMalice — новітній бекдор сімейства PebbleDash (не пізніше грудня 2025 року), здатний збирати системну інформацію, закріплюватися в системі, проводити розвідку штатними засобами Windows, захоплювати зображення екрана, завантажувати корисні навантаження в пам’ять та ексфільтрувати результати виконання команд.
- HttpTroy — бекдор із підтримкою зворотної оболонки, завантаження файлів, виконання в пам’яті та видалення слідів.
- AppleSeed (варіанти Dropper і Spy) — шпигунський варіант збирає документи, знімки екрана, натискання клавіш, списки USB-накопичувачів і дані з каталогу C:\GPKI, що вказує на цілеспрямований інтерес до державних PKI-сертифікатів.
Kaspersky також зафіксувала використання Kimsuky легітимного механізму тунелювання VS Code Remote Tunneling для прихованого віддаленого доступу — прийом, незалежно підтверджений Darktrace і Logpresso. Такий підхід усуває потребу в традиційних каналах зв’язку з командним сервером, що суттєво ускладнює виявлення.
Оцінка впливу
За даними Kaspersky, два кластери шкідливого ПЗ Kimsuky охоплюють перетинні сектори: оборону, військові структури, державні органи, медицину, машинобудування та енергетику. Атаки PebbleDash зафіксовано не лише в Південній Кореї, а й проти оборонних організацій у Бразилії та Німеччині, що свідчить про розширення географії операцій. Кластер AppleSeed, за оцінкою дослідників, зміщує фокус у бік ексфільтрації даних, а вилучення сертифікатів GPKI стає його характерною функцією.
Використання реальних розкладів нарад для створення приманок означає, що компрометація одного пристрою може призвести до каскадного зараження всіх учасників робочих зустрічей — особливо небезпечний сценарій для військових і державних структур.
Рекомендації щодо захисту
- Перевірити наявність у мережі файлів з іменами з переліку індикаторів: nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat, meeting.html.
- Проаналізувати заплановані завдання на предмет підозрілих записів, створених через regsvr32.exe.
- Обмежити або моніторити використання VS Code Remote Tunneling і Cloudflare Quick Tunnels у корпоративному середовищі — ці легітимні сервіси активно застосовуються Kimsuky для обходу виявлення.
- Заблокувати виконання JSE-файлів через групові політики, якщо цей формат не потрібен для бізнес-процесів.
- Посилити контроль завантаження засобів безпеки: інсталяція захисного ПЗ має виконуватися лише з верифікованих внутрішніх репозиторіїв, а не з зовнішніх вебсторінок.
- Провести аудит каталогу C:\GPKI на предмет несанкціонованого доступу — вилучення державних PKI-сертифікатів є пріоритетною ціллю кластера AppleSeed.
Кампанії Kimsuky березня–квітня 2026 року демонструють перехід від масового розповсюдження шкідливого ПЗ до хірургічно точних операцій: викрадення розкладів для створення переконливих приманок, перевірка факту зараження в режимі реального часу через JSONPing, зловживання легітимними інструментами розробки для приховування каналів керування. Організаціям оборонного та державного секторів Південної Кореї, а також їхнім міжнародним партнерам слід у пріоритетному порядку перевірити свої середовища на вказані індикатори та обмежити використання VS Code Remote Tunneling до завершення розслідування.
