**Kimsuky** (también conocido como Velvet Chollima), un actor de amenazas patrocinado por el estado de Corea del Norte, ha sido vinculado a una nueva ola de ciberataques dirigidos a organizaciones militares y corporativas de Corea del Sur durante marzo y abril de 2026. Según **ENKI**, "Kimsuky empleó una serie de tácticas de ingeniería social personalizadas, como la suplantación de páginas de instalación de software de seguridad y la creación de una página falsa de reuniones de Webex que utilizaba un calendario de reuniones legítimo". ## Despliegue de HTTPSpy a través de Instaladores Falsos Los ataques implican la entrega de una variante de la familia de malware **HTTPSpy**, disfrazada como instaladores de software de seguridad surcoreano. Esta táctica ha sido utilizada consistentemente por el actor de amenazas desde 2023. En la campaña de marzo de 2026, las cargas maliciosas se distribuyeron a través de una página web fraudulenta que suplantaba la página de instalación de software de seguridad de un servicio de mensajería B2B de Corea del Sur. Esto sugiere un enfoque dirigido a los administradores de mensajería dentro de entornos corporativos. La página falsa ofrece dos herramientas de seguridad: un firewall y un programa de seguridad de teclado. Los usuarios desprevenidos que inician la descarga reciben ya sea "nos-setup.exe" o "astx-setup.exe", que se hacen pasar por **nProtect Online Security** y **AhnLab Safe Transaction (ASTx)**, respectivamente. A pesar de los diferentes nombres, el comportamiento malicioso sigue siendo el mismo. Estos binarios lanzan una carga útil DLL de segunda etapa ("MemLoader.dll") a través de "regsvr32.exe", seguido de un script por lotes para eliminarse del disco. La DLL establece persistencia utilizando una tarea programada y se comunica con un servidor de comando y control (C2) para recuperar una carga útil desconocida. ENKI señala: "Es probable que el atacante monitoreara las solicitudes GET recurrentes del malware y entregara selectivamente cargas útiles a víctimas específicas". ## Suplantación de Webex para la Entrega de Malware En una campaña separada en abril de 2026, se utilizó una página falsa de **Cisco Webex** para mostrar un mensaje emergente instando a los usuarios a descargar y ejecutar un script para solucionar problemas de acceso a la cámara. Esto lleva a la recuperación de un archivo ZIP que contiene un archivo JavaScript cifrado (JSE) ("fix-camera.jse").  El archivo JSE ejecuta un descargador intermedio ("mTSTCv8.mdxm") utilizando **PowerShell**, que realiza verificaciones anti-análisis y contacta a un servidor C2 para obtener el malware de siguiente etapa ("engine.dat" o "spyInster.dll"). La etapa final implica que una DLL deje caer un componente cargador ("cacheMon.dat") que ejecuta **HTTPSpy** en el sistema comprometido. HTTPSpy es un troyano de acceso remoto (RAT) completo capaz de ejecutar comandos de shell, cargar/descargar archivos, ejecutar procesos, capturar capturas de pantalla, inyectar rutas de DLL en procesos PID específicos y eliminarse del endpoint. **CrowdStrike** informó en su Informe sobre el Panorama de Amenazas en Europa de 2025 que Kimsuky probablemente se dirigió a empleados de un fabricante de defensa alemán a través de una campaña de phishing de credenciales que desplegó **HTTPSpy** entre mayo de 2024 y al menos septiembre de 2024. El primer uso de HTTPSpy se remonta a 2022. Simultáneamente, el malware deja caer y abre un archivo HTML llamado "meeting.html", que redirige a la víctima a una sala de reuniones legítima de Webex asociada con un evento programado real que tuvo lugar aproximadamente al mismo tiempo. "Esto indica que el atacante probablemente comprometió el dispositivo o la cuenta de un miembro del servicio para obtener el calendario de reuniones, y luego creó una página de reunión falsa para distribuir malware a los otros asistentes", dijo la empresa de ciberseguridad. ENKI también descubrió páginas web falsas que consultan un servidor local configurado por el malware en la máquina de la víctima a través de JSONP (JSON con Padding) para verificar el estado de ejecución del malware y mostrar un aviso de instalación si no se está ejecutando. Esta técnica se llama JSONPing. La naturaleza exacta del malware descargado es desconocida, ya que la URL está actualmente inactiva. "Kimsuky fue más allá de la simple distribución de malware, introduciendo mecanismos sofisticados para maximizar el éxito de la entrega, incluida la verificación de infecciones en tiempo real a través de JSONPing y la creación de una página falsa utilizando un calendario de reuniones robado", dijo ENKI. ## El Arsenal en Evolución de Kimsuky: HelloDoor y HttpMalice **Kaspersky** detalló el uso del actor de amenazas de la canalización de **Microsoft Visual Studio Code (VS Code)**, Quick Tunnels de **Cloudflare**, **DWAgent**, modelos de lenguaje grandes (LLMs) y el lenguaje de programación **Rust**, destacando su continua adaptación. Kimsuky aprovecha los mecanismos de canalización legítimos de VS Code para establecer persistencia y distribuye la herramienta de monitoreo y administración remota de código abierto DWAgent para actividades posteriores a la explotación. Estas actividades afectaron a varios sectores en Corea del Sur, impactando a entidades públicas y privadas.  Las cadenas de ataque se basan en droppers escritos en JSE, PIF, SCR y EXE para entregar dos amplias familias de malware: **PebbleDash** y **AppleSeed**. Si bien los ataques de PebbleDash también se han registrado contra organizaciones de defensa en Brasil y Alemania, el clúster de AppleSeed se ha dirigido principalmente a organizaciones gubernamentales. Las familias clave de malware entregadas por los droppers incluyen: * **HelloDoor**: Una variante de PebbleDash basada en Rust identificada por primera vez en agosto de 2025, probablemente desarrollada utilizando un LLM, que admite funcionalidades básicas para establecer el directorio actual, dormir durante un intervalo de tiempo específico y ejecutar comandos. * **HttpMalice**: La última variante de backdoor de PebbleDash, que surgió a más tardar en diciembre de 2025, capaz de recopilar información del sistema, establecer persistencia, realizar reconocimiento utilizando comandos nativos de Windows, capturar capturas de pantalla, cargar cargas útiles en memoria, ejecutar comandos y exfiltrar la salida de ejecución. * **HttpTroy**: Un backdoor entregado a través de un cargador llamado MemLoad, que permite la carga/descarga de archivos, captura de pantalla, ejecución de comandos, carga de ejecutables en memoria, shell inverso, terminación de procesos y eliminación de rastros. * **AppleSeed**: Viene en dos variantes: Dropper y Spy. El Dropper descarga malware adicional y ejecuta comandos desde su servidor C2. La versión Spy recopila información sensible como documentos, capturas de pantalla, pulsaciones de teclas y listas de unidades USB, incluida la recolección de datos del directorio C:\GPKI, similar a **Troll Stealer**.