**Kimsuky** (auch bekannt als Velvet Chollima), ein nordkoreanischer staatlich unterstützter Bedrohungsakteur, wurde mit einer neuen Welle von Cyberangriffen in Verbindung gebracht, die südkoreanische Militär- und Unternehmensorganisationen im März und April 2026 ins Visier nahmen. Laut **ENKI** "setzte Kimsuky eine Reihe maßgeschneiderter Social-Engineering-Taktiken ein, wie z. B. die Nachahmung von Installationsseiten für Sicherheitssoftware und die Erstellung einer gefälschten Webex-Besprechungsseite, die einen legitimen Besprechungsplan nutzte." ## HTTPSpy-Bereitstellung über gefälschte Installer Die Angriffe beinhalten die Bereitstellung einer Variante der **HTTPSpy**-Malware-Familie, die als Installer für südkoreanische Sicherheitssoftware getarnt ist. Diese Taktik wird vom Bedrohungsakteur seit 2023 konsequent angewendet. In der Kampagne vom März 2026 wurden bösartige Payloads über eine gefälschte Webseite verteilt, die die Installationsseite für Sicherheitssoftware eines südkoreanischen B2B-Messaging-Dienstes nachahmte. Dies deutet auf einen gezielten Ansatz hin, der auf Messaging-Administratoren in Unternehmensumgebungen abzielt. Die gefälschte Seite bietet zwei Sicherheitstools an: eine Firewall und ein Tastatur-Sicherheitsprogramm. Unvorsichtige Benutzer, die den Download starten, erhalten entweder "nos-setup.exe" oder "astx-setup.exe", die sich als **nProtect Online Security** bzw. **AhnLab Safe Transaction (ASTx)** ausgeben. Trotz der unterschiedlichen Namen bleibt das bösartige Verhalten dasselbe. Diese Binärdateien starten eine zweite Stufe der DLL-Payload ("MemLoader.dll") über "regsvr32.exe", gefolgt von einem Batch-Skript, das sie von der Festplatte löscht. Die DLL stellt die Persistenz über eine geplante Aufgabe her und kommuniziert mit einem Command-and-Control (C2)-Server, um eine unbekannte Payload abzurufen. ENKI merkt an: "Der Angreifer überwachte wahrscheinlich die wiederkehrenden GET-Anfragen der Malware und lieferte selektiv Payloads an bestimmte Opfer." ## Webex-Spoofing zur Malware-Bereitstellung In einer separaten Kampagne im April 2026 wurde eine gefälschte **Cisco Webex**-Seite verwendet, um eine Pop-up-Nachricht anzuzeigen, die Benutzer auffordert, ein Skript herunterzuladen und auszuführen, um Probleme mit dem Kamera-Zugriff zu beheben. Dies führt zum Abruf eines ZIP-Archivs, das eine verschlüsselte JavaScript (JSE)-Datei ("fix-camera.jse") enthält.  Die JSE-Datei führt einen Zwischen-Downloader ("mTSTCv8.mdxm") mit **PowerShell** aus, der Anti-Analyse-Prüfungen durchführt und einen C2-Server kontaktiert, um die nächste Stufe der Malware ("engine.dat" oder "spyInster.dll") abzurufen. Die letzte Stufe beinhaltet eine DLL, die eine Loader-Komponente ("cacheMon.dat") ablegt, die **HTTPSpy** auf dem kompromittierten System ausführt. Httpspy ist ein voll ausgestatteter Remote-Access-Trojaner (RAT), der Shell-Befehle ausführen, Dateien hochladen/herunterladen, Prozesse ausführen, Screenshots aufnehmen, DLL-Pfade in bestimmte PID-Prozesse injizieren und sich selbst vom Endpunkt entfernen kann. **CrowdStrike** berichtete in seinem European Threat Landscape Report 2025, dass Kimsuky wahrscheinlich Mitarbeiter eines deutschen Rüstungsherstellers über eine Credential-Phishing-Kampagne ins Visier genommen hat, die **HTTPSpy** zwischen Mai 2024 und mindestens September 2024 einsetzte. Die erste Verwendung von HTTPSpy reicht bis ins Jahr 2022 zurück. Gleichzeitig legt die Malware eine HTML-Datei namens "meeting.html" ab und öffnet diese, die das Opfer zu einem legitimen Webex-Besprechungsraum weiterleitet, der mit einem tatsächlichen geplanten Ereignis verbunden ist, das ungefähr zur gleichen Zeit stattfand. "Dies deutet darauf hin, dass der Angreifer wahrscheinlich das Gerät oder Konto eines Dienstmitglieds kompromittiert hat, um den Besprechungsplan zu erhalten, und dann eine gefälschte Besprechungsseite erstellt hat, um Malware an die anderen Teilnehmer zu verteilen", sagte das Cybersicherheitsunternehmen. ENKI entdeckte auch gefälschte Webseiten, die einen vom Malware auf dem Rechner des Opfers eingerichteten lokalen Server über JSONP (JSON with Padding) abfragen, um den Status der Malware-Ausführung zu überprüfen und eine Installationsaufforderung anzuzeigen, wenn sie nicht läuft. Diese Technik wird als JSONPing bezeichnet. Die genaue Art der heruntergeladenen Malware ist unbekannt, da die URL derzeit inaktiv ist. "Kimsuky ging über die einfache Malware-Verteilung hinaus und führte ausgeklügelte Mechanismen ein, um den Liefererfolg zu maximieren, einschließlich der Echtzeit-Infektionsüberprüfung über JSONPing und der Erstellung einer gefälschten Seite unter Verwendung eines gestohlenen Besprechungsplans", sagte ENKI. ## Kimsukys sich entwickelndes Arsenal: HelloDoor und HttpMalice **Kaspersky** detaillierte die Nutzung von **Microsoft Visual Studio Code (VS Code)** Tunneling, **Cloudflare** Quick Tunnels, **DWAgent**, Large Language Models (LLMs) und der **Rust**-Programmiersprache durch den Bedrohungsakteur, was seine fortlaufende Anpassung unterstreicht. Kimsuky nutzt legitime VS Code-Tunneling-Mechanismen, um Persistenz zu schaffen, und verteilt das Open-Source-Tool DWAgent für Remote-Monitoring und -Management für Post-Exploitation-Aktivitäten. Diese Aktivitäten betrafen verschiedene Sektoren in Südkorea und wirkten sich sowohl auf öffentliche als auch auf private Unternehmen aus.  Angriffsketten basieren auf Droppern, die in JSE, PIF, SCR und EXE geschrieben sind, um zwei breite Malware-Familien zu liefern: **PebbleDash** und **AppleSeed**. Während PebbleDash-Angriffe auch gegen Verteidigungsorganisationen in Brasilien und Deutschland verzeichnet wurden, hat der AppleSeed-Cluster hauptsächlich Regierungsbehörden ins Visier genommen. Zu den wichtigsten von den Droppern gelieferten Malware-Familien gehören: * **HelloDoor**: Eine Rust-basierte PebbleDash-Variante, die erstmals im August 2025 identifiziert wurde und wahrscheinlich mit einem LLM entwickelt wurde. Sie unterstützt grundlegende Funktionen wie das Festlegen des aktuellen Verzeichnisses, das Schlafen für ein bestimmtes Zeitintervall und das Ausführen von Befehlen. * **HttpMalice**: Die neueste Backdoor-Variante von PebbleDash, die spätestens im Dezember 2025 auftrat. Sie kann Systeminformationen sammeln, Persistenz einrichten, Aufklärung mit nativen Windows-Befehlen durchführen, Screenshots aufnehmen, Payloads in den Speicher laden, Befehle ausführen und die Ausführungsergebnisse exfiltrieren. * **HttpTroy**: Eine Backdoor, die über einen Loader namens MemLoad geliefert wird und den Upload/Download von Dateien, die Aufnahme von Screenshots, die Befehlsausführung, das Laden von ausführbaren Dateien im Speicher, Reverse Shells, Prozessbeendigung und die Entfernung von Spuren ermöglicht. * **AppleSeed**: Kommt in zwei Varianten: Dropper und Spy. Der Dropper lädt zusätzliche Malware herunter und führt Befehle von seinem C2-Server aus. Die Spy-Version sammelt sensible Informationen wie Dokumente, Screenshots, Tastatureingaben und Listen von USB-Laufwerken, einschließlich des Harvestings von Daten aus dem C:\GPKI-Verzeichnis, ähnlich wie **Troll Stealer**.