**Kimsuky** (également connu sous le nom de Velvet Chollima), un acteur de menace parrainé par l'État nord-coréen, a été lié à une nouvelle vague de cyberattaques ciblant des organisations militaires et d'entreprises sud-coréennes en mars et avril 2026. Selon **ENKI**, "Kimsuky a employé une gamme de tactiques d'ingénierie sociale sur mesure, telles que l'usurpation de pages d'installation de logiciels de sécurité et la création d'une fausse page de réunion Webex qui exploitait un calendrier de réunion légitime." ## Déploiement de HTTPSpy via de faux installateurs Les attaques impliquent la livraison d'une variante de la famille de malwares **HTTPSpy**, déguisée en installateurs de logiciels de sécurité sud-coréens. Cette tactique est utilisée de manière constante par l'acteur de menace depuis 2023. Dans la campagne de mars 2026, des charges utiles malveillantes ont été distribuées via une page web frauduleuse usurpant l'identité de la page d'installation de logiciels de sécurité d'un service de messagerie B2B sud-coréen. Cela suggère une approche ciblée visant les administrateurs de messagerie au sein des environnements d'entreprise. La fausse page propose deux outils de sécurité : un pare-feu et un programme de sécurité clavier. Les utilisateurs peu méfiants qui initient le téléchargement reçoivent soit "nos-setup.exe", soit "astx-setup.exe", se faisant passer pour **nProtect Online Security** et **AhnLab Safe Transaction (ASTx)**, respectivement. Malgré les noms différents, le comportement malveillant reste le même. Ces binaires lancent une charge utile DLL de second niveau ("MemLoader.dll") via "regsvr32.exe", suivie d'un script batch pour se supprimer du disque. La DLL établit la persistance à l'aide d'une tâche planifiée et communique avec un serveur de commande et de contrôle (C2) pour récupérer une charge utile inconnue. ENKI note : "L'attaquant a probablement surveillé les requêtes GET récurrentes du malware et a sélectivement livré des charges utiles à des victimes spécifiques." ## Usurpation de Webex pour la livraison de malwares Dans une campagne distincte en avril 2026, une fausse page **Cisco Webex** a été utilisée pour afficher un message invitant les utilisateurs à télécharger et exécuter un script pour résoudre les problèmes d'accès à la caméra. Cela conduit à la récupération d'une archive ZIP contenant un fichier JavaScript (JSE) crypté ("fix-camera.jse").  Le fichier JSE exécute un téléchargeur intermédiaire ("mTSTCv8.mdxm") à l'aide de **PowerShell**, qui effectue des vérifications anti-analyse et contacte un serveur C2 pour récupérer le malware de niveau suivant ("engine.dat" ou "spyInster.dll"). La dernière étape implique une DLL déposant un composant chargeur ("cacheMon.dat") qui exécute **HTTPSpy** sur le système compromis. Httpspy est un cheval de Troie d'accès à distance (RAT) complet, capable d'exécuter des commandes shell, de télécharger/télécharger des fichiers, d'exécuter des processus, de capturer des captures d'écran, d'injecter des chemins de DLL dans des processus PID spécifiques et de se supprimer de l'endpoint. **CrowdStrike** a rapporté dans son rapport 2025 sur le paysage des menaces européennes que Kimsuky a probablement ciblé des employés d'un fabricant de défense allemand via une campagne de phishing de credentials déployant **HTTPSpy** entre mai 2024 et au moins septembre 2024. La première utilisation de HTTPSpy remonte à 2022. Simultanément, le malware dépose et ouvre un fichier HTML nommé "meeting.html", qui redirige la victime vers une salle de réunion Webex légitime associée à un événement programmé réel qui a eu lieu à peu près au même moment. "Cela indique que l'attaquant a probablement compromis l'appareil ou le compte d'un membre du service pour obtenir le calendrier des réunions, puis a créé une fausse page de réunion pour distribuer des malwares aux autres participants", a déclaré la société de cybersécurité. ENKI a également découvert de fausses pages web qui interrogent un serveur local configuré par le malware sur la machine de la victime via JSONP (JSON with Padding) pour vérifier l'état d'exécution du malware et afficher une invite d'installation s'il n'est pas en cours d'exécution. Cette technique est appelée JSONPing. La nature exacte du malware téléchargé est inconnue, car l'URL est actuellement inactive. "Kimsuky est allé au-delà de la simple distribution de malwares, en introduisant des mécanismes sophistiqués pour maximiser le succès de la livraison, y compris la vérification d'infection en temps réel via JSONPing et la création d'une fausse page à l'aide d'un calendrier de réunion volé", a déclaré ENKI. ## L'arsenal évolutif de Kimsuky : HelloDoor et HttpMalice **Kaspersky** a détaillé l'utilisation par l'acteur de menace du tunneling **Microsoft Visual Studio Code (VS Code)**, des tunnels rapides **Cloudflare**, de **DWAgent**, des grands modèles linguistiques (LLM) et du langage de programmation **Rust**, soulignant son adaptation continue. Kimsuky exploite les mécanismes de tunneling légitimes de VS Code pour établir la persistance et distribue l'outil de gestion et de surveillance à distance open-source DWAgent pour les activités post-exploitation. Ces activités ont affecté divers secteurs en Corée du Sud, touchant des entités publiques et privées.  Les chaînes d'attaque reposent sur des droppers écrits en JSE, PIF, SCR et EXE pour livrer deux grandes familles de malwares : **PebbleDash** et **AppleSeed**. Bien que des attaques PebbleDash aient également été enregistrées contre des organisations de défense au Brésil et en Allemagne, le cluster AppleSeed a principalement ciblé des organisations gouvernementales. Les principales familles de malwares livrées par les droppers comprennent : * **HelloDoor** : une variante de PebbleDash basée sur Rust, identifiée pour la première fois en août 2025, probablement développée à l'aide d'un LLM, prenant en charge des fonctionnalités de base pour définir le répertoire courant, dormir pendant un intervalle de temps spécifique et exécuter des commandes. * **HttpMalice** : la dernière variante de backdoor de PebbleDash, apparue au plus tard en décembre 2025, capable de collecter des informations système, d'établir la persistance, d'effectuer des reconnaissances à l'aide de commandes Windows natives, de capturer des captures d'écran, de charger des charges utiles en mémoire, d'exécuter des commandes et d'exfiltrer les résultats d'exécution. * **HttpTroy** : une backdoor livrée via un chargeur nommé MemLoad, permettant le téléchargement/téléchargement de fichiers, la capture de captures d'écran, l'exécution de commandes, le chargement en mémoire d'exécutables, le shell inversé, la terminaison de processus et la suppression de traces. * **AppleSeed** : se présente en deux variantes : Dropper et Spy. Le Dropper télécharge des malwares supplémentaires et exécute des commandes depuis son serveur C2. La version Spy collecte des informations sensibles telles que des documents, des captures d'écran, des frappes clavier et des listes de lecteurs USB, y compris la récolte de données du répertoire C:\GPKI, similaire à **Troll Stealer**.