Campanhas observadas em março e abril de 2026 combinaram engenharia social, carregadores em etapas, persistência por tarefa agendada e abuso de ferramentas legítimas para acesso remoto.
| Componente | Campanhas atribuídas ao Kimsuky, também conhecido como Velvet Chollima, com uso de HTTPSpy, HelloDoor, HttpMalice, HttpTroy, AppleSeed, HappyDoor, PebbleDash e abuso de túneis do VS Code. |
| Vetor | Páginas falsas de instalação de software de segurança e páginas falsas de reunião Webex induziram usuários a baixar instaladores, scripts ou arquivos JSE disfarçados de correção ou pré-requisito. |
| Impacto | Execução de malware de acesso remoto, persistência no endpoint, comandos remotos, transferência de arquivos, captura de tela, carregamento em memória e, em variantes específicas, coleta de documentos, teclas digitadas e certificados GPKI. |
| Prioridade | Revisar acessos a páginas de instalação não oficiais, execução de JSE/PIF/SCR/EXE associados a reuniões ou segurança, criação de tarefas agendadas suspeitas, uso anômalo de túneis do VS Code, DWAgent e Cloudflare Quick Tunnels. |
| Artefatos | nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat e meeting.html aparecem como nomes relevantes no fluxo descrito. |
| Alvos | Entidades militares e corporativas da Coreia do Sul foram alvo nas campanhas de março e abril de 2026; clusters relacionados também aparecem associados a setores de defesa, governo, medicina, maquinaria e energia. |
O Kimsuky ampliou seu conjunto operacional em campanhas recentes contra organizações militares e corporativas da Coreia do Sul, usando iscas altamente contextualizadas para distribuir malware de acesso remoto. As operações observadas em março e abril de 2026 combinaram páginas falsas, instaladores com nomes de produtos de segurança conhecidos no mercado sul-coreano, arquivo JSE criptografado, carregadores intermediários e comunicação com servidores de comando e controle. O objetivo técnico não se limitou à entrega inicial: a cadeia incluiu persistência, verificação de execução, seleção de vítimas e implantação de famílias com recursos de controle remoto.
A atividade mostra dois padrões relevantes para defesa. O primeiro é o uso de engenharia social ligada a fluxos de trabalho legítimos, como instalação de ferramentas de segurança e participação em reunião Webex. O segundo é a adoção de canais e utilitários legítimos para reduzir a dependência de infraestrutura clássica de malware, incluindo túneis do VS Code, Cloudflare Quick Tunnels e DWAgent. Esse uso de tecnologia confiável aumenta o risco de falso negativo quando a detecção se baseia apenas em reputação de binários ou bloqueio genérico de ferramentas administrativas.
Na campanha observada em março de 2026, a entrega inicial usou uma página falsa que imitava a instalação de segurança associada a um serviço sul-coreano de mensagens B2B. A isca oferecia dois supostos componentes, um firewall e um programa de segurança de teclado. Quando a vítima iniciava o download, recebia executáveis nomeados como nos-setup.exe ou astx-setup.exe, aparentando ser instaladores de nProtect Online Security e AhnLab Safe Transaction. Embora os nomes variassem, o comportamento malicioso descrito era o mesmo: lançar uma DLL de segunda etapa chamada MemLoader.dll, acionar o registro da DLL por meio de um utilitário legítimo do Windows e apagar artefatos iniciais por script em lote.
Depois da execução inicial, MemLoader.dll criava persistência por tarefa agendada e passava a contatar infraestrutura de comando e controle. O fluxo incluía requisições GET recorrentes, o que indica que o operador poderia observar quais hosts estavam ativos e entregar cargas subsequentes de forma seletiva. Essa seleção é importante para resposta a incidentes: a ausência de uma carga final em um host analisado não invalida o comprometimento, pois a cadeia pode ter sido interrompida por decisão do operador, indisponibilidade da infraestrutura ou filtragem de vítimas.
Na campanha de abril de 2026, a engenharia social usou uma página falsa de Webex. A vítima recebia uma mensagem de erro relacionada ao acesso da câmera e era induzida a baixar uma correção. O arquivo obtido vinha em um ZIP com um JSE criptografado chamado fix-camera.jse. A execução do JSE acionava um downloader intermediário identificado como mTSTCv8.mdxm, que fazia checagens anti-análise antes de buscar a próxima etapa. Os nomes engine.dat e spyInster.dll aparecem como cargas posteriores, e a cadeia final incluía um componente cacheMon.dat responsável por executar o HTTPSpy no sistema comprometido.
O HTTPSpy é descrito como um trojan de acesso remoto com recursos amplos. Suas capacidades incluem execução de comandos de shell, upload e download de arquivos, execução de processos, captura de tela, injeção de caminhos de DLL em processos especificados por PID e remoção própria do endpoint. Em paralelo, a cadeia também abria meeting.html, que redirecionava a vítima para uma sala Webex legítima associada a um evento real. Esse detalhe sugere o uso de agenda de reunião obtida previamente para tornar a isca mais convincente, sem confirmar por si só qual conta ou dispositivo foi comprometido para obter a agenda.
A superfície principal envolve estáções Windows de usuários que interagem com páginas de instalação de segurança, administradores de mensageria corporativa e participantes de reuniões que aceitam baixar componentes supostamente necessários para câmera ou acesso. O risco não está restrito a usuários finais comuns: a isca ligada a um serviço B2B de mensagens indica possível foco em administradores ou operadores com acesso a ambientes corporativos sensíveis. Quando a execução ocorre sob uma conta com permissões elevadas ou acesso a documentos internos, o impacto prático do malware aumenta.
Além do HTTPSpy, o conjunto citado inclui famílias relacionadas a PebbleDash e AppleSeed. HelloDoor é uma variante baseada em Rust associada ao cluster PebbleDash, com funcionalidades básicas para alterar diretório atual, aguardar intervalos e executar comandos. HttpMalice reúne coleta de informações do sistema, persistência, reconhecimento com utilitários nativos do Windows, captura de tela, carregamento de payloads em memória, execução de comandos e exfiltração da saída gerada. HttpTroy, entregue por um carregador chamado MemLoad, permite transferência de arquivos, captura de tela, execução de comandos, carregamento de executáveis em memória, shell reverso, encerramento de processos e remoção de rastros.
O cluster AppleSeed aparece em duas variantes, Dropper e Spy. A variante Dropper baixa malware adicional e executa comandos recebidos de seu servidor de comando e controle. A variante Spy coleta informações sensíveis, incluindo documentos, capturas de tela, teclas digitadas e listas de unidades USB. A coleta de dados em C:\GPKI é relevante para ambientes sul-coreanos porque certificados GPKI podem estar ligados a autenticação e serviços governamentais ou corporativos. HappyDoor aparece como versão avançada de AppleSeed com presença documentada desde 2021.
- Estáções Windows que executaram instaladores falsos de segurança ou arquivo JSE associado à falsa correção de câmera.
- Usuários e administradores expostos a páginas falsas de serviço B2B de mensagens ou reunião Webex.
- Ambientes onde túneis do VS Code, DWAgent ou Cloudflare Quick Tunnels não são monitorados como canais de acesso remoto.
A investigação deve começar pela correlação entre navegação, download e criação de processos. A sequência de acesso a páginas de instalação não oficiais, download de executáveis com nomes de produtos de segurança, execução de JSE a partir de arquivo ZIP e criação de tarefa agendada fornece uma linha de tempo útil para separar atividade legítima de implantação maliciosa. Em endpoints Windows, nomes como nos-setup.exe, astx-setup.exe, MemLoader.dll, fix-camera.jse, mTSTCv8.mdxm, engine.dat, spyInster.dll, cacheMon.dat e meeting.html devem ser tratados como pivôs de busca, sem depender apenas do nome do arquivo para confirmação.
A técnica chamada JSONPing acrescenta outro ponto de observação. Páginas falsas podiam consultar um servidor local configurado pelo malware na máquina da vítima via JSONP para verificar se a execução maliciosa já estava ativa e, quando necessário, exibir novo prompt de instalação. Para defesa, isso significa procurar tráfego local incomum iniciado por navegador, chamadas JSONP associadas a páginas de instalação suspeitas e comportamento em que uma página externa altera sua interface com base no estado local do endpoint. A URL exata de download não estava ativa no material analisado, portanto a análise deve focar no padrão comportamental.
O abuso de túneis do VS Code exige telemetria diferente da usada para backdoors tradicionais. Como o recurso de tunelamento é legítimo, a defesa deve identificar uso fora do perfil esperado: criação de sessões em máquinas que não fazem desenvolvimento, autenticações incomuns, execução persistente de componentes de túnel, conexões externas recorrentes e associação com ferramentas de administração remota não aprovadas. O mesmo raciocínio vale para DWAgent e Cloudflare Quick Tunnels, que podem ser permitidos em alguns ambientes, mas devem ter inventário, justificativa, proprietário e logs de sessão.
- Criação de tarefas agendadas próxima à execução de instaladores ou arquivos JSE recebidos por navegador.
- Execução de arquivos com extensões JSE, PIF, SCR ou EXE em diretórios de usuário após acesso a páginas de reunião ou instalação.
- Requisições periódicas para infraestrutura externa após
MemLoader.dllou carregadores semelhantes iniciarem no host. - Uso de túneis do VS Code em máquinas sem perfil de desenvolvimento ou fora de janelas operacionais esperadas.
- Acesso ou coleta de conteúdo em
C:\GPKI, listas de unidades USB, documentos, capturas de tela e registros de teclado.
A resposta deve priorizar contenção de endpoints que executaram os artefatos citados ou apresentaram a sequência de download, carregamento de DLL, persistência e comunicação externa. Como a entrega de payloads pode ter sido seletiva, hosts com apenas a etapa inicial também precisam ser tratados como suspeitos. O isolamento deve preservar memória, tarefas agendadas, histórico de navegador, arquivos temporários, registros de execução e metadados de rede para reconstruir a cadeia sem depender de uma amostra final ainda presente no disco.
No controle preventivo, organizações devem restringir a execução de JSE, PIF e SCR recebidos por download, reforçar política de allowlist para scripts, validar instaladores de software de segurança por origem oficial e bloquear páginas internas ou externas que se passem por portais de instalação sem aprovação. Para reuniões, usuários não devem precisar executar correções locais distribuídas por página de acesso; alertas de câmera devem ser resolvidos por canais corporativos de suporte, com pacotes assinados e distribuição controlada.
Em ambientes que usam VS Code Remote Tunneling, DWAgent ou Cloudflare Quick Tunnels de forma legítima, a mitigação não deve ser bloqueio cego sem inventário. O controle adequado é registrar quem pode usar, em quais máquinas, com qual finalidade, por quanto tempo e com quais logs. Onde não houver necessidade de negócio, a organização deve bloquear execução, autenticação ou comunicação desses componentes. Onde houver necessidade, sessões novas, persistentes ou sem vínculo com times de engenharia devem gerar investigação.
- Isolar hosts com execução dos artefatos mencionados e coletar memória, tarefas agendadas, histórico de downloads e conexões externas.
- Revisar controles de execução para arquivos JSE, PIF, SCR e EXE baixados de páginas não aprovadas.
- Inventariar e restringir VS Code Remote Tunneling, DWAgent e Cloudflare Quick Tunnels conforme necessidade real de negócio.
- Procurar persistência por tarefa agendada criada após instalação de supostos componentes de segurança ou correção de câmera.
- Rotacionar credenciais e revisar acessos quando houver sinais de coleta de documentos, teclas digitadas, certificados GPKI ou dados de reunião.
0 Comentários