El actor de amenazas patrocinado por el estado de Corea del Norte conocido como Kimsuky (también conocido como Velvet Chollima) se ha atribuido a una nueva serie de ataques cibernéticos dirigidos a entidades militares y corporativas de Corea del Sur durante marzo y abril de 2026.
«Kimsuky empleó una variedad de tácticas de ingeniería social personalizadas, como falsificar páginas de instalación de software de seguridad y crear una página de reunión Webex falsa que aprovechó un calendario de reuniones legítimo», dijo ENKI en un análisis publicado esta semana.
Se ha descubierto que los ataques generan una variante de una conocida familia de malware denominada HTTPSpy disfrazándolo de instaladores de software de seguridad surcoreano, una táctica que el actor de amenazas ha adoptado constantemente desde 2023.
En la última campaña observada en marzo de 2026, se descubrió que el adversario propagaba cargas maliciosas a través de una página web falsa que se hacía pasar por la página de instalación de software de seguridad de un servicio de mensajería B2B de Corea del Sur. Dada la naturaleza del señuelo, se sospecha que la actividad puede haber sido diseñada específicamente para señalar a los administradores de mensajería dentro de entornos corporativos.
La página afirma ofrecer dos herramientas de seguridad: un firewall y un programa de seguridad de teclado. Una vez que los usuarios desprevenidos inician la descarga, se descarga cualquiera de los dos ejecutables, «nos-setup.exe» y «astx-setup.exe», que se hacen pasar por nProtect Online Security y AhnLab Safe Transaction (ASTx). A pesar de las diferencias en el nombre, el comportamiento malicioso que contienen es idéntico.
La responsabilidad principal de los archivos binarios es iniciar una carga útil DLL de segunda etapa («MemLoader.dll») a través de «regsvr32.exe», después de lo cual se ejecuta un script por lotes para eliminarlos del disco. La DLL establece persistencia en el host mediante una tarea programada y se comunica con un servidor de comando y control (C2) para recuperar una carga útil aún desconocida.
«El atacante probablemente monitoreó las solicitudes GET recurrentes del malware y entregó selectivamente cargas útiles a víctimas específicas», dijo ENKI.
En otra campaña observada en abril de 2026, se dice que se utilizó una página web falsificada que imitaba a Cisco Webex para mostrar un mensaje emergente que instaba a la víctima a descargar y ejecutar un script para solucionar los problemas de acceso a la cámara. Al hacerlo, se recuperará un archivo ZIP que contiene un archivo JavaScript (JSE) cifrado («fix-camera.jse»).
La ejecución del archivo JSE da como resultado la implementación de un descargador intermedio («mTSTCv8.mdxm») usando PowerShell, que luego ejecuta comprobaciones antianálisis y contacta a un servidor C2 para recuperar el malware de la siguiente etapa («engine.dat» o «spyInster.dll»). En la etapa final, la DLL elimina un componente de carga («cacheMon.dat») que, a su vez, ejecuta HTTPSpy en el sistema comprometido.
HTTPSpy es un troyano de acceso remoto con todas las funciones que admite una amplia gama de capacidades para ejecutar comandos de shell, cargar/descargar archivos, ejecutar procesos, capturar capturas de pantalla, inyectar rutas DLL en procesos PID específicos y borrarse del terminal.
Esta no es la primera vez que Kimsuky implementa HTTPSpy. En su Informe sobre el panorama de amenazas en Europa de 2025, CrowdStrike dijo que el grupo de hackers probablemente apuntó a los empleados de un fabricante de defensa alemán a través de una campaña de phishing de credenciales que implementó el malware entre mayo de 2024 y al menos septiembre de 2024. El primer uso de HTTPSpy se remonta a 2022.
Al mismo tiempo, el malware también coloca y abre un archivo HTML llamado «meeting.html», que inmediatamente redirige a la víctima a una sala de reuniones de Webex. Al acceder a la URL, se abre una sala de reuniones legítima de Webex asociada con un evento programado real que tuvo lugar aproximadamente al mismo tiempo.
«Esto indica que el atacante probablemente comprometió el dispositivo o la cuenta de un miembro del servicio para obtener el calendario de la reunión y luego creó una página de reunión falsa para distribuir malware a los demás asistentes», dijo la compañía de ciberseguridad.
ENKI dijo que también descubrió páginas web falsas adicionales que consultan un servidor local configurado por el malware en la máquina de la víctima a través de JSONP (JSON con relleno) para verificar el estado de ejecución del malware y mostrar un mensaje de instalación si no se está ejecutando. La técnica ha recibido el nombre en código JSONPing. Sin embargo, se desconoce la naturaleza exacta del malware descargado ya que la URL está actualmente inactiva.
«Kimsuky fue más allá de la simple distribución de malware, introduciendo mecanismos sofisticados para maximizar el éxito de la entrega, incluida la verificación de infecciones en tiempo real a través de JSONPing y la creación de una página falsa utilizando un calendario de reuniones robado», dijo ENKI.
Kimsuky evoluciona con HelloDoor y HttpMalice
La divulgación se produce cuando Kaspersky detalló el uso por parte del actor de amenazas de los túneles Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, modelos de lenguaje grande (LLM) y el lenguaje de programación Rust en sus últimas campañas, destacando su continua adaptación y evolución.
«Específicamente, Kimsuky aprovechó los mecanismos legítimos de túnel VS Code para establecer persistencia y distribuyó la herramienta de gestión y monitoreo remoto de código abierto DWAgent para actividades posteriores a la explotación», dijo la compañía rusa de ciberseguridad. «Estas actividades afectaron a varios sectores en Corea del Sur, impactando tanto a entidades públicas como privadas».
Se ha descubierto que las cadenas de ataque dependen de una variedad de droppers escritos en JSE, PIF, SCR y EXE para entregar dos amplias familias de malware: PebbleDash y AppleSeed. Si bien también se han registrado ataques de PebbleDash contra organizaciones de defensa en Brasil y Alemania, el clúster AppleSeed se ha dirigido principalmente a organizaciones gubernamentales.
Algunas de las familias de malware clave entregadas por los droppers son las siguientes:
- Hola puertauna variante de PebbleDash basada en Rust identificada por primera vez en agosto de 2025 y probablemente desarrollada mediante un LLM. Admite funciones básicas para configurar el directorio actual, suspender durante un intervalo de tiempo específico y ejecutar comandos.
- httpmalicela última variante de puerta trasera de PebbleDash, surgió a más tardar en diciembre de 2025. Viene con capacidades para recopilar información sobre el sistema comprometido, configurar la persistencia, realizar reconocimiento utilizando comandos nativos de Windows, capturar capturas de pantalla, cargar cargas útiles descargadas en la memoria, ejecutar comandos y filtrar el resultado de la ejecución.
- HttpTroyuna puerta trasera entregada a través de un cargador llamado MemLoad, permite la carga/descarga de archivos, captura de pantalla, ejecución de comandos, carga de ejecutables en memoria, shell inverso, finalización de procesos y eliminación de rastros.
- semilla de manzanaque viene en dos variantes: Dropper y Spy. El Dropper es responsable de descargar malware adicional y ejecutar comandos recibidos de su servidor C2. La versión Spy recopila información confidencial como documentos, capturas de pantalla, pulsaciones de teclas y listas de unidades USB. Esto también incluye la recopilación de datos del directorio C:GPKI, reflejando una característica similar implementada en Troll Stealer.
- puerta felizuna versión avanzada de AppleSeed que apareció por primera vez en 2021.
Otro cambio táctico notable implica el abuso de la función legítima VS Code Remote Tunneling para establecer un acceso remoto encubierto al dispositivo de la víctima, eliminando así la necesidad de canales C2 tradicionales basados en malware. Darktrace y Logpresso también han destacado este enfoque.
«Nuestro análisis muestra que el actor conserva el acceso al código fuente original de los grupos de malware y la capacidad de modificarlo», afirmó el investigador de Kaspersky, Sojun Ryu. «Dos grupos tienen sectores objetivo superpuestos que abarcan las industrias de defensa, militar, gubernamental, médica, de maquinaria y energética».
«El clúster AppleSeed está cambiando su enfoque hacia la exfiltración de datos y la extracción de certificados GPKI se ha convertido en una capacidad de firma. Mientras tanto, el clúster PebbleDash demuestra capacidades avanzadas de control remoto y un conjunto de objetivos en expansión».