O grupo de ameaça patrocinado pelo Estado norte-coreano conhecido como Kimsuky, também chamado de Velvet Chollima, foi atribuído a uma nova onda de ataques cibernéticos contra entidades militares e corporativas da Coreia do Sul entre março e abril de 2026.
Em uma análise publicada nesta semana, a ENKI afirmou que o Kimsuky empregou uma série de táticas de engenharia social sob medida, como imitar páginas de instalação de softwares de segurança e criar uma falsa página de reunião no Webex que aproveitava uma agenda legítima.
Os ataques foram usados para distribuir uma variante de uma família conhecida de malware chamada HTTPSpy, disfarçada como instaladores de softwares de segurança sul-coreanos, uma estratégia que o grupo vem adotando de forma consistente desde 2023.
Na campanha mais recente, observada em março de 2026, o adversário propagou payloads maliciosos por meio de uma página fraudulenta que imitava a instalação de um software de segurança de um serviço de mensagens B2B sul-coreano.
Pela natureza da isca, suspeita-se que a ação tenha sido pensada especificamente para atingir administradores de mensageria em ambientes corporativos.
A página afirmava oferecer duas ferramentas de segurança, um firewall e um programa de proteção do teclado.
Assim que a vítima iniciava o download, eram baixados dois executáveis, “nos-setup.exe” e “astx-setup.exe”, que se passavam por nProtect Online Security e AhnLab Safe Transaction (ASTx).
Apesar da diferença de nomes, o comportamento malicioso embutido nos dois era o mesmo.
A principal função dos binários era acionar um payload DLL de segunda etapa, “MemLoader.dll”, por meio do “regsvr32.exe”.
Em seguida, um script em lote era executado para apagar os arquivos do disco.
A DLL estabelecia persistência no host usando uma tarefa agendada e se comunicava com um servidor de comando e controle (C2) para obter um payload ainda não identificado.
Segundo a ENKI, o atacante provavelmente monitorava as solicitações GET recorrentes do malware e entregava payloads de forma seletiva para vítimas específicas.
Em outra campanha observada em abril de 2026, uma página falsificada que imitava o Cisco Webex teria sido usada para exibir uma janela pop-up que incentivava a vítima a baixar e executar um script para corrigir problemas de acesso à câmera.
Ao fazer isso, a vítima recebia um arquivo ZIP com um arquivo JavaScript criptografado, “fix-camera.jse”.
A execução do arquivo JSE levava à implantação de um downloader intermediário, “mTSTCv8.mdxm”, por meio do PowerShell.
Esse componente então executava verificações de anti-análise e contatava um servidor C2 para buscar o malware da próxima etapa, “engine.dat” ou “spyInster.dll”.
Na fase final, a DLL implantava um componente loader, “cacheMon.dat”, que por sua vez executava o HTTPSpy no sistema comprometido.
O HTTPSpy é um trojan de acesso remoto completo, com recursos para executar comandos de shell, fazer upload e download de arquivos, executar processos, capturar capturas de tela, injetar caminhos de DLL em processos com um PID específico e apagar seus próprios vestígios do endpoint.
Esta não foi a primeira vez que o Kimsuky utilizou o HTTPSpy.
Em seu relatório Europe Threat Landscape de 2025, a CrowdStrike afirmou que o grupo provavelmente mirou funcionários de uma fabricante de defesa alemã por meio de uma campanha de phishing de credenciais, distribuindo o malware entre maio de 2024 e, pelo menos, setembro de 2024.
O primeiro uso do HTTPSpy remonta a 2022.
Ao mesmo tempo, o malware também cria e abre um arquivo HTML chamado “meeting.html”, que redireciona imediatamente a vítima para uma sala de reunião do Webex.
Ao acessar a URL, abre-se uma sala legítima do Webex associada a um evento real agendado para o mesmo período.
Isso indica que o atacante provavelmente comprometeu o dispositivo ou a conta de um membro do serviço para obter a agenda da reunião e, então, criou uma página falsa para distribuir malware aos demais participantes, afirmou a empresa de cibersegurança.
A ENKI disse ainda ter descoberto outras páginas falsas que consultam um servidor local criado pelo malware na máquina da vítima por meio de JSONP, ou JSON com Padding, para verificar o status de execução do malware e exibir um aviso de instalação caso ele não esteja em execução.
A técnica recebeu o codinome JSONPing.
No entanto, a natureza exata do malware baixado ainda é desconhecida, já que a URL está inativa no momento.
O Kimsuky foi além da simples distribuição de malware e introduziu mecanismos sofisticados para maximizar o sucesso da entrega, incluindo a verificação da infecção em tempo real via JSONPing e a criação de uma página falsa usando uma agenda de reunião roubada, disse a ENKI.
Kimsuky evolui com HelloDoor e HttpMalice
A revelação ocorre no momento em que a Kaspersky detalhou o uso, pelo grupo, de tunelamento do Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, modelos de linguagem de grande porte (LLMs) e da linguagem Rust em campanhas recentes, destacando sua capacidade contínua de adaptação e evolução.
Especificamente, o Kimsuky explorou mecanismos legítimos de tunelamento do VS Code para estabelecer persistência e distribuiu a ferramenta open source de monitoramento e gerenciamento remoto DWAgent para atividades pós-exploração, afirmou a empresa russa de cibersegurança.
Essas atividades afetaram vários setores na Coreia do Sul, com impacto em entidades públicas e privadas.
As cadeias de ataque têm recorrido a uma variedade de droppers escritos em JSE, PIF, SCR e EXE para distribuir duas grandes famílias de malware: PebbleDash e AppleSeed.
Embora ataques com PebbleDash também tenham sido registrados contra organizações de defesa no Brasil e na Alemanha, o cluster AppleSeed tem como foco principal organizações governamentais.
Algumas das principais famílias de malware distribuídas pelos droppers são as seguintes:
HelloDoor, uma variante de PebbleDash baseada em Rust, identificada pela primeira vez em agosto de 2025 e provavelmente desenvolvida com o auxílio de um LLM.
Ela oferece funções básicas para definir o diretório atual, aguardar por um intervalo específico e executar comandos.
HttpMalice, a variante mais recente de backdoor do PebbleDash, surgiu no máximo em dezembro de 2025.
Ela inclui recursos para coletar informações sobre o sistema comprometido, estabelecer persistência, fazer reconhecimento usando comandos nativos do Windows, capturar capturas de tela, carregar payloads baixados na memória, executar comandos e exfiltrar a saída da execução.
HttpTroy, um backdoor entregue por meio de um loader chamado MemLoad, permite upload e download de arquivos, captura de capturas de tela, execução de comandos, carregamento de executáveis em memória, reverse shell, encerramento de processos e remoção de rastros.
AppleSeed, que aparece em duas variantes, Dropper e Spy.
A versão Dropper é responsável por baixar malware adicional e executar comandos recebidos de seu servidor C2.
A versão Spy coleta informações sensíveis, como documentos, capturas de tela, pressionamentos de tecla e listas de unidades USB.
Isso também inclui a coleta de dados do diretório C:\GPKI, reproduzindo um recurso semelhante ao implementado no Troll Stealer.
HappyDoor, uma versão avançada do AppleSeed que apareceu pela primeira vez em 2021.
Outra mudança tática relevante envolve o abuso do recurso legítimo VS Code Remote Tunneling para estabelecer acesso remoto furtivo ao dispositivo da vítima, eliminando assim a necessidade de canais tradicionais de C2 baseados em malware.
Essa abordagem também foi destacada pela Darktrace e pela Logpresso.
Nossa análise mostra que o ator mantém acesso ao código-fonte original dos clusters de malware e capacidade de modificá-lo, afirmou o pesquisador da Kaspersky Sojun Ryu.
Há dois clusters com sobreposição de setores-alvo, abrangendo os setores de defesa, militar, governo, saúde, máquinas e energia.
O cluster AppleSeed está deslocando seu foco para a exfiltração de dados, e a extração de certificados GPKI se tornou uma capacidade característica.
Enquanto isso, o cluster PebbleDash demonstra recursos avançados de controle remoto e uma lista crescente de alvos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...