一、事件概述
2026年上半年,朝鲜背景APT组织Kimsuky针对韩国军方、企业及相关机构人员发起多轮定向网络攻击,相关活动由韩国ENKI WhiteHat威胁研究团队完整捕获并披露。Kimsuky自2013年被首次发现以来,长期以韩国军政、科研、关键信息基础设施为核心目标,具备成熟的社会工程学能力与定制化恶意软件开发能力。在本轮攻击活动中,该组织进一步升级攻击手段,将仿冒安全软件、窃取真实会议信息伪造Webex页面、JSONPing实时感染检测、模块化HttpSpy远控木马相结合,形成高度场景化、强隐蔽性、高成功率的完整攻击链路。攻击行为呈现出精准侦察、流程标准化、技术持续迭代的典型APT特征,对韩国境内政企机构终端安全与数据安全构成显著威胁。
图 1 攻击示意图
二、攻击过程与技术分析
Kimsuky在本次攻击中采用双重社会工程学诱饵完成初始入侵,分别为仿冒企业级安全软件安装页面与伪造Webex在线会议页面。攻击者复制银行与正规安全厂商的页面布局与视觉样式,搭建虚假安装站点,提供伪装成个人防火墙、键盘安全软件的安装程序下载入口,诱导目标人员点击下载。与此同时,攻击者利用已攻陷主机窃取真实会议日程信息,制作与官方Webex高度一致的虚假入会页面,以摄像头故障需安装补丁脚本为由,诱导用户下载并执行恶意压缩包与脚本文件,执行后会自动跳转至真实会议页面,以此降低目标人员的安全警惕。
在载荷投递与执行阶段,攻击流程呈现多层嵌套、无窗口静默执行、实时感染校验的特点。虚假页面提供的astx‑setup.exe与nos‑setup.exe程序,表面为正常安全软件安装包,实际为dropper载体,运行后会在显示正常安装界面的同时,于后台解密释放恶意文件MemLoader.dll,并利用regsvr32.exe完成无窗口执行。该加载器会为受害主机生成唯一UID标识,注册以ChromeUpdate、EdgeUpdate为名的计划任务,实现持久化驻留。更为关键的是,攻击者引入JSONPing技术,由恶意代码在本地62001或16106端口启动临时HTTP服务。仿冒页面通过JSONP跨域方式向本地服务发起请求,根据回调结果判断恶意程序是否成功执行,未成功则持续弹窗诱导安装,实现感染状态的实时监控与闭环控制。与此同时,载荷内置抗沙箱与抗调试机制,通过读取注册表信息识别VMware、VirtualBox虚拟机环境,枚举进程列表与窗口标题,一旦发现Wireshark、Process Monitor、x64dbg等分析工具便立即终止运行,规避动态检测与逆向分析。
在最终载荷落地环节,Kimsuky放弃传统单文件远控结构,采用全新三阶段模块化HttpSpy变种,显著提升隐蔽性与抗检测能力。第一阶段为spyInster.dll,以engine.dat形态存在,负责完成安装配置、字符串解密、API地址解析,并将主模块写入指定路径,同时以备用数据流形式存储配置信息,添加注册表自启动项;第二阶段为spyLoader.dll,以cacheMon.dat形态存在,通过内存反射方式加载HttpSpy主模块,定位并调用该家族标志性的hello导出函数,启动主程序;第三阶段为httpSpy.dll主模块,具备完整远控能力,支持命令执行、文件上传下载、屏幕截图、远程进程注入、数据窃取等功能,与C2服务器采用HTTP POST协议通信,传输数据经RC4加密与Base64编码处理,通信参数与格式高度固定,可稳定接收指令并回传数据。
从攻击基础设施来看,本次活动与Kimsuky历史行为存在强关联,攻击者复用XAMPP默认HTTPS证书,C2与分发服务器集中于该组织长期使用的ASN 19318、26666网段,域名大量使用韩国免费域名服务,采用与官方域名高度相似的混淆字符,具备明显的家族标识与资源复用特征。
三、事件关联与影响判定
综合代码特征、加密密钥、基础设施与战术流程,可高置信度判定本次攻击归属Kimsuky组织。攻击样本中复用了该家族长期使用的RC4加密密钥,保留hello导出函数、XOR字符串混淆、API哈希解析等标志性代码特征,jse脚本加载器结构、文件释放路径、执行流程与2021年以来的攻击样本高度一致,基础设施的证书、网段、域名模式均与历史活动完全匹配。
本次攻击将传统鱼叉钓鱼升级为场景化精准诱骗,结合真实信息仿冒与实时感染检测,大幅降低攻击暴露风险,提升入侵成功率。模块化分离的HttpSpy变种采用内存加载、合法进程伪装、数据流隐藏等手段,可有效绕过传统特征码查杀与终端检测工具,防御难度显著提升。攻击目标从传统军政核心人员扩展至普通企业员工、会议参与者等泛化目标,攻击边界持续扩大,一旦攻陷终端,可实现内网横向渗透、敏感数据窃取、业务系统操控,对机构运营与信息安全构成持续性威胁。
参考链接
https://www.enki.co.kr/media-center/blog/kimsuky-s-advanced-attack-techniques-jsonping-webex-spoofing-and-a-new-httpspy-variant
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
