**Kimsuky**（別名Velvet Chollima）は、北朝鮮国家支援の脅威アクターであり、2026年3月から4月にかけて韓国の軍事および企業組織を標的とした新たなサイバー攻撃の波に関連付けられています。 **ENKI**によると、「Kimsukyは、セキュリティソフトウェアのインストールページを偽装したり、正規の会議スケジュールを悪用した偽のWebex会議ページを作成したりするなど、さまざまなカスタマイズされたソーシャルエンジニアリング戦術を採用しました。」 ## HTTPSpyの偽装インストーラーによる展開 攻撃には、韓国のセキュリティソフトウェアのインストーラーを装った**HTTPSpy**マルウェアファミリーの亜種が配布されます。この戦術は、2023年以来、脅威アクターによって一貫して使用されています。 2026年3月のキャンペーンでは、悪意のあるペイロードが、韓国のB2Bメッセージングサービスのセキュリティソフトウェアインストールページを偽装した偽のウェブページを通じて配布されました。これは、企業環境内のメッセージング管理者を標的とした、標的型アプローチを示唆しています。 偽のページは、ファイアウォールとキーボードセキュリティプログラムの2つのセキュリティツールを提供します。ダウンロードを開始した不注意なユーザーは、それぞれ**nProtect Online Security**と**AhnLab Safe Transaction (ASTx)**を装った「nos-setup.exe」または「astx-setup.exe」を受け取ります。名前は異なりますが、悪意のある動作は同じです。 これらのバイナリは、「regsvr32.exe」を介してセカンドステージのDLLペイロード（「MemLoader.dll」）を起動し、その後、ディスクから自身を削除するためのバッチスクリプトを実行します。DLLは、スケジュールされたタスクを使用して永続性を確立し、コマンド＆コントロール（C2）サーバーと通信して未知のペイロードを取得します。 ENKIは、「攻撃者はマルウェアからの繰り返しGETリクエストを監視し、特定の被害者にペイロードを選択的に配信した可能性が高い」と述べています。 ## マルウェア配布のためのWebex偽装 2026年4月の別のキャンペーンでは、偽の**Cisco Webex**ページが使用され、カメラアクセス問題を修正するためにスクリプトをダウンロードして実行するようにユーザーに促すポップアップメッセージが表示されました。これにより、暗号化されたJavaScript（JSE）ファイル（「fix-camera.jse」）を含むZIPアーカイブが取得されます。  JSEファイルは、**PowerShell**を使用して中間ダウンローダー（「mTSTCv8.mdxm」）を実行し、アンチ分析チェックを実行してC2サーバーに連絡し、次のステージのマルウェア（「engine.dat」または「spyInster.dll」）を取得します。最終ステージでは、DLLがローダーコンポーネント（「cacheMon.dat」）をドロップし、侵害されたシステムで**HTTPSpy**を実行します。 HTTPSpyは、シェルコマンドの実行、ファイルのアップロード/ダウンロード、プロセスの実行、スクリーンショットのキャプチャ、特定のPIDプロセスへのDLLパスの挿入、およびエンドポイントからの自己削除が可能な、フル機能のリモートアクセス型トロイの木馬（RAT）です。 **CrowdStrike**は、2025年の欧州脅威ランドスケープレポートで、Kimsukyが2024年5月から少なくとも2024年9月にかけて**HTTPSpy**を展開するクレデンシャルフィッシングキャンペーンを通じて、ドイツの防衛メーカーの従業員を標的にした可能性が高いと報告しました。HTTPSpyの最初の使用は2022年に遡ります。 同時に、マルウェアは「meeting.html」という名前のHTMLファイルをドロップして開き、被害者を、同時期に実際に行われたスケジュールされたイベントに関連付けられた正規のWebex会議室にリダイレクトします。「これは、攻撃者がサービスメンバーのデバイスまたはアカウントを侵害して会議スケジュールを取得し、その後、他の参加者にマルウェアを配布するために偽の会議ページを作成した可能性を示唆しています」とサイバーセキュリティ会社は述べています。 ENKIはまた、マルウェアが被害者のマシンでローカルサーバーにJSONP（JSON with Padding）を介してクエリを実行し、マルウェアの実行ステータスを確認し、実行されていない場合はインストールプロンプトを表示する偽のウェブページを発見しました。この技術はJSONPingと呼ばれます。URLが現在非アクティブであるため、ダウンロードされたマルウェアの正確な性質は不明です。「Kimsukyは単純なマルウェア配布を超えて、リアルタイムの感染確認（JSONPing経由）や盗まれた会議スケジュールを使用した偽ページ作成など、配信成功を最大化するための洗練されたメカニズムを導入しました」とENKIは述べています。 ## Kimsukyの進化する武器庫：HelloDoorとHttpMalice **Kaspersky**は、脅威アクターによる**Microsoft Visual Studio Code (VS Code)**トンネリング、**Cloudflare** Quick Tunnels、**DWAgent**、大規模言語モデル（LLM）、および**Rust**プログラミング言語の使用を詳細に説明し、その継続的な適応を強調しました。Kimsukyは正規のVS Codeトンネリングメカニズムを活用して永続性を確立し、オープンソースのDWAgentリモート監視および管理ツールをポストエクスプロイト活動のために配布します。これらの活動は韓国のさまざまなセクターに影響を与え、公的および民間の両方の組織に影響を与えました。  攻撃チェーンは、JSE、PIF、SCR、およびEXEで書かれたドロッパーに依存し、2つの広範なマルウェアファミリー、**PebbleDash**と**AppleSeed**を配信します。PebbleDash攻撃はブラジルとドイツの防衛組織に対しても記録されていますが、AppleSeedクラスターは主に政府組織を標的にしています。 ドロッパーによって配信される主要なマルウェアファミリーには以下が含まれます： * **HelloDoor**: 2025年8月に最初に特定されたRustベースのPebbleDash亜種で、LLMを使用して開発された可能性があり、現在のディレクトリの設定、指定された時間間隔でのスリープ、コマンドの実行などの基本的な機能をサポートします。 * **HttpMalice**: PebbleDashの最新のバックドア亜種で、遅くとも2025年12月に出現し、システム情報の収集、永続性の設定、ネイティブWindowsコマンドを使用した偵察の実行、スクリーンショットのキャプチャ、メモリへのペイロードのロード、コマンドの実行、および実行結果の外部送信が可能です。 * **HttpTroy**: MemLoadというローダーを介して配信されるバックドアで、ファイルのアップロード/ダウンロード、スクリーンショットのキャプチャ、コマンド実行、実行可能ファイルのメモリ内ロード、リバースシェル、プロセス終了、およびトレース削除を可能にします。 * **AppleSeed**: ドロッパーとスパイの2つの亜種があります。ドロッパーは追加のマルウェアをダウンロードし、C2サーバーからコマンドを実行します。スパイバージョンは、ドキュメント、スクリーンショット、キーストローク、USBドライブのリストなどの機密情報を収集し、**Troll Stealer**と同様にC:\GPKIディレクトリからのデータハーベスティングも行います。