Kimsuky aggiorna il proprio arsenale operativo con campagne mirate contro obiettivi militari e aziendali in Corea del Sud, combinando JSONPing, spoofing di pagine WebEx e una nuova variante del backdoor HttpSpy distribuita attraverso una catena di infezione in tre stadi. Il gruppo nordcoreano, già noto per operazioni di cyber spionaggio contro la penisola coreana, dimostra una maturazione tattica significativa: non si limita più a usare esche generiche, ma sfrutta dati reali di riunioni compromesse, installatori contraffatti di software di sicurezza e meccanismi di verifica locale per capire in tempo reale se la vittima ha effettivamente eseguito il malware. La campagna descritta dal report di Enki conferma un’evoluzione precisa del modus operandi di Kimsuky, sempre più orientato a ridurre il rumore di rete, aumentare la credibilità dell’esca e consegnare payload successivi solo quando l’infezione risulta confermata.
Cosa leggere
Kimsuky aggiorna le campagne contro militari e aziende sudcoreane
Kimsuky resta uno degli attori nordcoreani più persistenti contro la Corea del Sud, con un interesse stabile verso ambienti militari, imprese tecnologiche, organizzazioni strategiche e soggetti collegati alla difesa. Le attività osservate tra marzo e aprile 2026 mostrano un cambio di passo nell’uso dell’ingegneria sociale e nella precisione delle catene di infezione. Gli attaccanti preparano pagine web false che imitano installatori di prodotti di sicurezza sudcoreani come ASTX, NOS, AhnLab Safe Transaction e nProtect Online Security, oppure ricostruiscono finte pagine di riunione WebEx usando dettagli verosimili o informazioni provenienti da meeting compromessi. Questo approccio aumenta la probabilità che la vittima consideri legittimo il download, perché l’esca non appare generica ma coerente con il contesto operativo dell’organizzazione colpita. La presenza ricorrente della chiave RC4 #RsfsetraW#@EsfesgsgAJOPj4eml; in più campioni rafforza l’attribuzione e fornisce un marker utile per il threat hunting. Il gruppo mantiene infrastrutture, logiche di cifratura e pattern di distribuzione riconoscibili, ma aggiorna rapidamente pagine, domini e dropper per eludere rilevamenti e blocchi. La campagna conferma che Kimsuky non punta soltanto alla compromissione iniziale, ma alla costruzione di un accesso persistente, silenzioso e adattabile, capace di sopravvivere alle prime analisi difensive e di consegnare il backdoor finale solo dopo verifiche operative.
JSONPing verifica l’infezione usando il browser della vittima
La tecnica JSONPing rappresenta uno degli elementi più interessanti della campagna perché permette a Kimsuky di verificare localmente l’esecuzione del malware senza generare subito comunicazioni esterne evidenti verso infrastrutture di comando e controllo. Dopo l’installazione, il loader MemLoader.dll scrive un payload in C:\ProgramData\calc.exe e avvia un server locale sulla porta 62001. Quando la pagina di distribuzione contiene un parametro callback, il server risponde con una risposta JSONP, consentendo alla pagina fake di capire se il processo malevolo è attivo direttamente sul dispositivo della vittima. Il meccanismo sfrutta quindi il browser come canale di controllo locale verso localhost, riducendo la necessità di callback remoti immediati e limitando il rumore osservabile sul perimetro di rete. Il malware genera anche un UID casuale da otto caratteri esadecimali, salvato in un file .cfg nella stessa directory, con prefisso S- quando l’esecuzione avviene con privilegi amministrativi e U- quando l’utente dispone solo di privilegi standard. Questa informazione permette agli attaccanti di classificare rapidamente il livello di accesso ottenuto e decidere se consegnare payload successivi. JSONPing diventa così un controllo di qualità dell’infezione: evita invii inutili, riduce esposizione e consente una distribuzione più selettiva del backdoor HttpSpy. Per le difese aziendali, la tecnica impone un cambio di prospettiva perché il traffico sospetto non passa necessariamente subito da connessioni esterne, ma può manifestarsi come attività anomala verso una porta locale, in particolare la 62001, associata alla presenza del processo malevolo.
Lo spoofing WebEx trasforma riunioni compromesse in esche credibili
Il vettore basato su WebEx dimostra la capacità di Kimsuky di trasformare dati contestuali in ingegneria sociale ad alta credibilità. La pagina fake osservata su conference.birdriver[.]org riproduce l’esperienza di caricamento di una riunione apparentemente legittima, con sfondo sfocato e comportamento coerente con un ambiente di videoconferenza. Dopo alcuni secondi, la vittima visualizza un dialogo che invita a installare uno script per correggere un presunto problema della camera. Il clic avvia il download di un archivio ALZip contenente fix-camera.jse, dropper che installa la catena di infezione e genera un file meeting.html capace di reindirizzare la vittima alla riunione WebEx autentica. Questo dettaglio è decisivo perché riduce il sospetto: la vittima esegue il file malevolo, poi arriva comunque alla riunione prevista, interpretando l’intero processo come un normale problema tecnico risolto. L’uso di informazioni di meeting compromesse aumenta ulteriormente l’efficacia dell’esca, perché il dominio, il contesto e la sequenza dell’interazione appaiono coerenti con attività professionali reali. Kimsuky non si limita quindi a imitare genericamente una piattaforma nota, ma costruisce una trappola che sfrutta aspettative operative concrete. Il risultato è una catena di attacco in cui la vittima partecipa inconsapevolmente alla consegna del payload, convinta di installare un componente necessario per completare l’accesso alla videoconferenza.
HttpSpy evolve in una catena di infezione a tre stadi
La nuova variante di HttpSpy abbandona la logica del singolo binario e adotta una struttura in tre stadi più resistente all’analisi e alla rimozione. Il primo stadio è l’installer, spesso distribuito come nos-setup.exe o astx-setup.exe, progettato per imitare software di sicurezza sudcoreani. Il secondo stadio è il loader, che carica il payload successivo in memoria e prepara la persistenza. Il terzo stadio è il backdoor HttpSpy, responsabile della comunicazione con l’infrastruttura C&C e delle funzioni operative finali. Secondo il report Enki, componenti come loadDll.dll scaricano payload da server secondari e chiamano export specifici come Play o funzioni come hello per proseguire l’esecuzione. La catena applica cifratura RC4 ai payload embedded, controlli anti-analisi e tecniche di esecuzione in memoria per ridurre la visibilità su disco. Le funzionalità classiche di HttpSpy, tra cui cattura schermo, keylogging e comunicazione con il server remoto, vengono mantenute ma inserite in un impianto più modulare. Questa architettura rende più difficile attribuire subito tutte le componenti della compromissione e consente agli attaccanti di aggiornare singoli stadi senza dover ricostruire l’intera catena. Per un gruppo come Kimsuky, che opera in campagne di lungo periodo e contro obiettivi sensibili, la modularità è un vantaggio decisivo perché aumenta la resilienza dell’impianto e complica la risposta difensiva.
La catena tecnica usa dropper, regsvr32 e task schedulati
La catena di infezione osservata nelle campagne di Kimsuky segue un flusso tecnico preciso. L’utente esegue un dropper che si presenta come installer legittimo di software di sicurezza, ad esempio nos-setup.exe o astx-setup.exe. Il file decifra con RC4 un payload embedded, scrive un decoy nella directory corrente per mantenere la credibilità dell’operazione e deposita il loader MemLoader.dll in un percorso del tipo C:\ProgramData[a-z]{8}.dat. Il loader avvia il decoy tramite ShellExecuteW e richiama se stesso attraverso regsvr32.exe, tecnica che consente di sfruttare un binario legittimo di Windows per eseguire componenti malevoli. Successivamente MemLoader.dll crea il server locale necessario a JSONPing, registra un task schedulato per la persistenza e imposta nomi come ChromeUpdate o EdgeUpdate per confondersi con normali processi di aggiornamento del browser. Il task può attivarsi ogni minuto e rilanciare il loader con privilegi elevati, mantenendo viva l’infezione anche dopo riavvii o interruzioni temporanee. Il loader scarica poi il payload successivo da URL dinamici, lo esegue in memoria e attiva routine di cancellazione tramite batch in %Temp%\msbuild.bat, che tenta ripetutamente di rimuovere artefatti residui fino al successo. Questa combinazione di decoy, living-off-the-land, persistenza schedulata e self-delete mostra una catena progettata per restare funzionale anche sotto pressione difensiva.
Evasion, RC4 e persistenza rafforzano l’impianto nordcoreano
Le tecniche di evasione usate da Kimsuky attraversano ogni livello della campagna. I dropper mostrano decoy funzionali per distrarre la vittima e mantenere una parvenza di legittimità. Il loader controlla processi, registry e segnali ambientali per individuare sandbox, VM e strumenti di analisi. La cifratura RC4 protegge payload embedded e configurazioni, mentre la chiave condivisa #RsfsetraW#@EsfesgsgAJOPj4eml; diventa un elemento ricorrente per collegare i campioni. La persistenza tramite Task Scheduler usa nomi ingannevoli come ChromeUpdate ed EdgeUpdate, mentre la comunicazione del backdoor sfrutta HTTPS e bearer token basati sull’UID generato localmente.
| Nome del file | nos-setup.exe | astx-setup.exe |
|---|---|---|
| Esca | nProtec Online Security V1.0 | Transazione sicura AhnLab |
| MD5 del malware rilasciato | bea602695d58cbf25fff058834e36c1d | bea602695d58cbf25fff058834e36c1d |
| Percorso malware rilasciato | C:\Programdata\[az]{8}.dat | C:\Programdata\[az]{8}.dat |
| Percorso del file di autoeliminazione | %Temp%\msbuild.bat | %Temp%\msbuild.bat |
| Chiave RC4 | #RsfsetraW#@EsfesgsgAJOPj4eml; | #RsfsetraW#@EsfesgsgAJOPj4eml; |
| Linker | Microsoft Linker (14.36.33523) | Microsoft Linker (14.36.33523) |
| Compilatore | Microsoft Visual C/C++(19.36.33523)[LTCG/C++] | Microsoft Visual C/C++(19.36.33523)[LTCG/C++] |
| Catena di strumenti | Visual Studio (2022, v17.6) | Visual Studio (2022, v17.6) |
| Lingua | C++ | C |
La consegna selettiva dei payload dopo conferma JSONPing riduce l’esposizione dell’infrastruttura e limita il numero di campioni pienamente osservabili dai ricercatori. Questo modello non punta solo a infettare, ma a controllare la distribuzione del malware in modo granulare. Gli attaccanti possono decidere quando proseguire, quale payload consegnare e come classificare la vittima in base ai privilegi disponibili. La strategia evidenzia una maturità operativa coerente con campagne di spionaggio, dove la furtività e la persistenza valgono più della velocità di compromissione su larga scala.
Militari e aziende sudcoreane devono rafforzare il threat hunting
Le implicazioni per la sicurezza in Corea del Sud sono immediate, soprattutto per organizzazioni militari, aziende tecnologiche e soggetti collegati a filiere strategiche. Le difese devono monitorare domini sospetti come ibizplus.n-e.kr e birdriver.org, verificare pagine che richiedono download diretti di installer o script e controllare la presenza di file .dat anomali in ProgramData. Un indicatore particolarmente rilevante è l’attività locale sulla porta 62001, associata al server usato per JSONPing. Anche task schedulati con nomi ChromeUpdate o EdgeUpdate devono essere analizzati quando presentano percorsi, frequenze di esecuzione o comandi incoerenti con aggiornamenti legittimi. Gli amministratori dovrebbero inoltre cercare tracce di regsvr32.exe usato per caricare DLL da directory non standard, file fix-camera.jse, archivi ALZip inattesi e batch di cancellazione come msbuild.bat in directory temporanee. Le difese basate soltanto su signature rischiano di non essere sufficienti perché la catena usa decoy, cifratura, payload in memoria e verifiche locali. Il threat hunting deve quindi concentrarsi su comportamento, persistenza, connessioni locali insolite e anomalie nei percorsi di esecuzione. Nel caso di obiettivi militari e industriali, la segmentazione di rete e la riduzione dei privilegi utente restano misure essenziali per impedire che un’infezione iniziale si trasformi in compromissione più estesa.
Kimsuky conferma l’evoluzione degli attacchi nordcoreani
La campagna basata su JSONPing, spoofing WebEx e nuova variante HttpSpy conferma l’evoluzione costante delle operazioni nordcoreane contro la Corea del Sud. Kimsuky combina conoscenza del contesto, ingegneria sociale, infrastrutture ricorrenti e tecniche di verifica real-time per aumentare l’efficacia degli attacchi e ridurre il rischio di rilevamento precoce. Il gruppo non si affida a una sola componente, ma costruisce una catena nella quale ogni stadio ha una funzione precisa: convincere la vittima, installare il loader, verificare localmente l’esecuzione, mantenere persistenza, consegnare payload selettivi e attivare il backdoor finale. La presenza di una variante HttpSpy più modulare dimostra che gli attaccanti stanno investendo nella resilienza degli impianti, mentre l’uso di meeting compromessi e pagine WebEx contraffatte indica una crescente attenzione alla personalizzazione delle esche. Per le organizzazioni sudcoreane, il messaggio è chiaro: il rischio non riguarda soltanto allegati sospetti o domini sconosciuti, ma anche ambienti apparentemente familiari, riunioni legittime e software di sicurezza imitati con cura. La difesa deve quindi spostarsi verso un modello più comportamentale, capace di collegare segnali deboli come task schedulati anomali, porte locali insolite, loader mascherati e comunicazioni cifrate ricorrenti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
