**Kimsuky** (também conhecido como Velvet Chollima), um ator de ameaças patrocinado pelo estado norte-coreano, foi associado a uma nova onda de ciberataques visando organizações militares e corporativas sul-coreanas durante março e abril de 2026. De acordo com a **ENKI**, "Kimsuky empregou uma série de táticas de engenharia social personalizadas, como falsificação de páginas de instalação de software de segurança e a criação de uma página falsa de reunião Webex que utilizava uma agenda de reuniões legítima." ## Implantação do HTTPSpy via Instaladores Falsos Os ataques envolvem a entrega de uma variante da família de malware **HTTPSpy**, disfarçada como instaladores de software de segurança sul-coreano. Essa tática tem sido consistentemente utilizada pelo ator de ameaças desde 2023. Na campanha de março de 2026, cargas maliciosas foram distribuídas através de uma página web falsa que se passava pela página de instalação de software de segurança de um serviço de mensagens B2B sul-coreano. Isso sugere uma abordagem direcionada a administradores de mensagens em ambientes corporativos. A página falsa oferece duas ferramentas de segurança: um firewall e um programa de segurança de teclado. Usuários desavisados que iniciam o download recebem "nos-setup.exe" ou "astx-setup.exe", disfarçados como **nProtect Online Security** e **AhnLab Safe Transaction (ASTx)**, respectivamente. Apesar dos nomes diferentes, o comportamento malicioso permanece o mesmo. Esses binários iniciam uma carga útil DLL de segundo estágio ("MemLoader.dll") via "regsvr32.exe", seguida por um script em lote para se deletarem do disco. A DLL estabelece persistência usando uma tarefa agendada e se comunica com um servidor de comando e controle (C2) para recuperar uma carga útil desconhecida. A ENKI observa: "O atacante provavelmente monitorou as requisições GET recorrentes do malware e entregou seletivamente cargas úteis para vítimas específicas." ## Falsificação de Webex para Entrega de Malware Em uma campanha separada em abril de 2026, uma página falsa do **Cisco Webex** foi usada para exibir uma mensagem pop-up instando os usuários a baixar e executar um script para corrigir problemas de acesso à câmera. Isso leva à recuperação de um arquivo ZIP contendo um arquivo JavaScript criptografado (JSE) ("fix-camera.jse").  O arquivo JSE executa um downloader intermediário ("mTSTCv8.mdxm") usando **PowerShell**, que realiza verificações anti-análise e contata um servidor C2 para buscar o malware de próximo estágio ("engine.dat" ou "spyInster.dll"). O estágio final envolve uma DLL que solta um componente loader ("cacheMon.dat") que executa o **HTTPSpy** no sistema comprometido. O HTTPSpy é um trojan de acesso remoto (RAT) completo, capaz de executar comandos shell, fazer upload/download de arquivos, executar processos, capturar screenshots, injetar caminhos de DLL em processos PID específicos e se remover do endpoint. A **CrowdStrike** relatou em seu Relatório do Cenário de Ameaças Europeu de 2025 que o Kimsuky provavelmente visou funcionários de um fabricante de defesa alemão através de uma campanha de phishing de credenciais que implantou o **HTTPSpy** entre maio de 2024 e pelo menos setembro de 2024. O primeiro uso do HTTPSpy remonta a 2022. Simultaneamente, o malware solta e abre um arquivo HTML chamado "meeting.html", que redireciona a vítima para uma sala de reunião Webex legítima associada a um evento agendado real que ocorreu aproximadamente na mesma época. "Isso indica que o atacante provavelmente comprometeu o dispositivo ou conta de um membro do serviço para obter a agenda da reunião, então elaborou uma página de reunião falsa para distribuir malware para os outros participantes", disse a empresa de cibersegurança. A ENKI também descobriu páginas web falsas que consultam um servidor local configurado pelo malware na máquina da vítima via JSONP (JSON with Padding) para verificar o status de execução do malware e exibir um prompt de instalação se ele não estiver em execução. Essa técnica é chamada de JSONPing. A natureza exata do malware baixado é desconhecida, pois a URL está atualmente inativa. "Kimsuky foi além da simples distribuição de malware, introduzindo mecanismos sofisticados para maximizar o sucesso da entrega, incluindo verificação de infecção em tempo real via JSONPing e a criação de uma página falsa usando uma agenda de reunião roubada", disse a ENKI. ## Arsenal em Evolução do Kimsuky: HelloDoor e HttpMalice A **Kaspersky** detalhou o uso do ator de ameaças de tunelamento do **Microsoft Visual Studio Code (VS Code)**, Quick Tunnels da **Cloudflare**, **DWAgent**, modelos de linguagem grandes (LLMs) e a linguagem de programação **Rust**, destacando sua adaptação contínua. O Kimsuky utiliza mecanismos legítimos de tunelamento do VS Code para estabelecer persistência e distribui a ferramenta de monitoramento e gerenciamento remoto de código aberto DWAgent para atividades pós-exploração. Essas atividades afetaram vários setores na Coreia do Sul, impactando entidades públicas e privadas.  As cadeias de ataque dependem de droppers escritos em JSE, PIF, SCR e EXE para entregar duas amplas famílias de malware: **PebbleDash** e **AppleSeed**. Enquanto ataques com PebbleDash também foram registrados contra organizações de defesa no Brasil e na Alemanha, o cluster AppleSeed tem visado principalmente organizações governamentais. As principais famílias de malware entregues pelos droppers incluem: * **HelloDoor**: Uma variante do PebbleDash baseada em Rust, identificada pela primeira vez em agosto de 2025, provavelmente desenvolvida usando um LLM, suportando funcionalidades básicas para definir o diretório atual, pausar por um intervalo de tempo específico e executar comandos. * **HttpMalice**: A variante de backdoor mais recente do PebbleDash, surgiu no máximo em dezembro de 2025, capaz de coletar informações do sistema, estabelecer persistência, realizar reconhecimento usando comandos nativos do Windows, capturar screenshots, carregar cargas úteis na memória, executar comandos e exfiltrar a saída de execução. * **HttpTroy**: Um backdoor entregue via um loader chamado MemLoad, permitindo upload/download de arquivos, captura de screenshots, execução de comandos, carregamento de executáveis na memória, shell reverso, término de processos e remoção de rastros. * **AppleSeed**: Vem em duas variantes: Dropper e Spy. O Dropper baixa malware adicional e executa comandos de seu servidor C2. A versão Spy coleta informações confidenciais como documentos, screenshots, teclas digitadas e listas de drives USB, incluindo a coleta de dados do diretório C:\GPKI, semelhante ao **Troll Stealer**.