文章总结： Kimsuky组织在2026年3-4月针对韩国军方及多国政企发动钓鱼攻击，通过伪造Webex会议页面和安全软件诱导下载恶意程序。攻击滥用VSCode隧道等合法工具建立隐蔽通道，使用HTTPSpy远控木马和新型恶意样本集群实现数据窃取。该组织采用JSONPing感染校验技术提升成功率，建议企业监控异常网络行为并加强终端防护。 综合评分： 85 文章分类： 威胁情报,恶意软件,渗透测试,应急响应,安全建设

黑客组织Kimsuky火力全开！伪装Webex会议，利用VS Code隧道窃密

看雪学苑 看雪学苑

看雪学苑

2026年5月29日 18:00 上海

在小说阅读器读本章

去阅读

近期，知名 APT 组织 Kimsuky（别名 Velvet Chollima）在2026年3至4月期间，发动了多轮针对性网络攻击。本次行动主要瞄准韩国军方、各类政企单位，攻击手段融合了传统社会工程学钓鱼、老牌远控木马、自研新型恶意程序，更是开始滥用VS Code 隧道、Cloudflare 隧道等正规工具搭建隐蔽通信通道。

该组织不仅持续迭代恶意样本，还创新出 JSONPing 感染校验机制，攻击链路愈发复杂、隐蔽，威胁范围也逐步向海外多国防务机构扩散。

1

两轮精准钓鱼攻击，诱饵极具迷惑性

本轮攻击分为两大批次，攻击者根据目标场景定制不同仿冒页面，诱导用户主动下载运行恶意程序。

（1）仿冒本土安全软件页面（3月攻击活动）

攻击者搭建虚假网页，伪装成韩国一款 B2B 通讯服务的安全组件安装界面，页面标注提供防火墙、键盘安全防护两款工具，精准瞄准企业内部通讯管理员群体。

页面内提供两款伪装安装包：nos-setup.exe、astx-setup.exe，分别冒充本土知名安全产品 nProtect Online Security 与 AhnLab ASTx。两款程序名称不同，但恶意行为完全一致。

用户执行安装包后，程序会通过regsvr32.exe加载第二阶段 DLL 载荷MemLoader.dll，随后启动批处理脚本完成自删除，规避痕迹排查。

DLL 文件会创建系统计划任务实现持久驻留，并主动连接 C2 服务器，等待攻击者下发后续未知载荷。据分析，攻击者会监控恶意程序请求，按需向特定目标分发不同载荷，实现精准打击。

（2）伪造 Webex 会议页面（4月攻击活动）

另一批攻击采用仿冒Cisco Webex 会议页面的思路，攻击者先窃取真实会议日程与账号信息，搭建钓鱼站点并弹出弹窗，谎称摄像头异常，诱导用户下载修复脚本。

用户执行脚本后，设备会获取加密的 JSE 文件fix-camera.jse；该文件运行后调用 PowerShell 下载中间加载器，经过反沙箱、反分析检测后，再次请求 C2 服务器拉取核心恶意文件。

多级加载器最终会落地运行老牌远控HTTPSpy，完成主机控制。

与此同时，恶意程序会自动打开meeting.html并跳转至真实有效的 Webex 会议室，让受害者误以为只是正常进入会议，进一步降低警惕性。

2

老牌远控 HTTPSpy 持续活跃，功能全面破坏力强

HTTPSpy 是 Kimsuky 长期使用的全功能远控木马，最早可追溯至 2022 年，过往已多次出现在该组织的攻击行动中。

2024年5月至9月，该木马就曾通过凭证钓鱼，入侵德国某防务制造企业员工设备；直至本次 2026 年攻击活动，依旧是攻击者的核心主力工具。

其核心能力包含：

✅ 执行系统命令、上传 / 下载本地文件

✅ 进程管理、屏幕截图

✅ 向指定进程注入 DLL

✅ 攻击完成后自动清除自身痕迹

3

创新校验技术：JSONPing，提升感染成功率

本次攻击还出现了一项名为JSONPing的新型辅助技术。

攻击者在恶意程序中植入逻辑，会在受害主机本地搭建简易服务，外部页面通过JSONP 接口实时查询恶意程序运行状态。

若检测到程序未正常启动，页面会再次弹出安装引导，反复诱导用户执行文件，大幅提升恶意载荷的投递成功率。目前该配套下载链接已失效，后续载荷具体功能暂未探明。

4

武器库全面升级，多款新型恶意样本集体亮相

除经典的 HTTPSpy 外，Kimsuky 本次曝光了两大恶意程序集群：PebbleDash与AppleSeed，旗下多款新样本集中亮相，且部分样本采用Rust 语言开发、借助大模型辅助编写，技术特征明显更新。

（1）PebbleDash 集群（主打远程控制）

该集群攻击范围较广，除韩国本土外，巴西、德国防务机构也遭到针对性打击，代表样本如下：

• HelloDoor：2025 年 8 月首次现身，Rust 编写，依托大模型辅助开发，支持目录切换、延时休眠、命令执行等基础远控能力。
• HttpMalice：2025 年 12 月出现的全新后门，可完成主机信息搜集、持久化部署、内网探测、屏幕截屏、内存加载载荷、数据回传等全套操作。
• HttpTroy：通过 MemLoad 加载器启动，支持文件互传、反向 Shell、进程查杀、攻击痕迹清理，综合权限极高。

（2）AppleSeed 集群（主打数据窃取）

该集群主要瞄准政府类单位，核心目标为窃取敏感数据，衍生出多个版本：

• 基础版 AppleSeed：分为投递端与窃密端。投递端负责下载恶意程序、执行远程命令；窃密端可盗取文档、截屏、记录键盘输入、枚举 USB 设备，还会专门抓取系统C:\GPKI目录下的证书信息。
• HappyDoor：2021 年出现的进阶版本，继承并强化了 AppleSeed 的数据窃取能力，是该组织老牌窃密工具。

5

战术重大转变：滥用正规工具，抛弃传统 C2 通道

本次分析中最值得警惕的变化，是 Kimsuky 开始大量滥用合法运维、开发工具构建隐蔽通道，彻底改变传统木马 C2 通信模式：

• 利用 VS Code 隧道功能 实现远程持久访问，借助开发工具的原生能力接管主机；
• 搭配 Cloudflare Quick Tunnels、DWAgent 远程运维工具开展后渗透操作。

这类方式最大优势在于：流量、行为均符合正规软件特征，常规安全设备难以识别拦截。

综合研判，Kimsuky 完整掌握旗下所有恶意样本源码，可按需修改迭代。

目前两大恶意集群分工明确：

• PebbleDash：侧重远程控制、横向移动，目标行业持续扩张；
• AppleSeed：侧重数据窃取，抓取 GPKI 证书已成为标志性行为。

攻击覆盖国防、军方、政府、医疗、机械制造、能源等多个关键领域，威胁等级持续走高。

6

安全建议

针对本次 APT 攻击特征，建议企业安全团队做好以下防护：

• 警惕来路不明的安全软件安装包、会议修复工具，拒绝点击陌生仿冒网页；
• 监控终端中 VS Code、Webex、办公通讯软件的异常网络行为与文件下载；
• 加强终端计划任务、启动项巡检，及时发现恶意持久化行为；
• 针对 GPKI 证书、核心业务文档做好权限隔离与防窃取策略。

资讯来源：The Hacker News、ENKI、Kaspersky

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《黑客组织Kimsuky火力全开！伪装Webex会议，利用VS Code隧道窃密》