文章总结： 报告分析朝鲜APT组织Kimsuky在2026年上半年针对韩国军政企业的攻击活动，该组织采用仿冒安全软件与伪造Webex会议页面的双重社会工程学诱饵，结合JSONPing实时感染检测技术和模块化HttpSpy远控木马，形成高度隐蔽的完整攻击链。攻击流程包含多层载荷投放、抗分析机制及数据窃取功能，基础设施复用历史资源，对终端安全和数据保护构成严重威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,渗透测试,红队,漏洞分析

Kimsuky组织高级攻击技术分析报告——JSONPing、Webex 仿冒与新型HttpSpy变种

原创

BaizeSec BaizeSec

白泽安全实验室

2026年5月29日 09:00 北京

在小说阅读器读本章

去阅读

一、事件概述

2026年上半年，朝鲜背景APT组织Kimsuky针对韩国军方、企业及相关机构人员发起多轮定向网络攻击，相关活动由韩国ENKI WhiteHat威胁研究团队完整捕获并披露。Kimsuky自2013年被首次发现以来，长期以韩国军政、科研、关键信息基础设施为核心目标，具备成熟的社会工程学能力与定制化恶意软件开发能力。在本轮攻击活动中，该组织进一步升级攻击手段，将仿冒安全软件、窃取真实会议信息伪造Webex页面、JSONPing实时感染检测、模块化HttpSpy远控木马相结合，形成高度场景化、强隐蔽性、高成功率的完整攻击链路。攻击行为呈现出精准侦察、流程标准化、技术持续迭代的典型APT特征，对韩国境内政企机构终端安全与数据安全构成显著威胁。

图 1攻击示意图

二、攻击过程与技术分析

Kimsuky在本次攻击中采用双重社会工程学诱饵完成初始入侵，分别为仿冒企业级安全软件安装页面与伪造Webex在线会议页面。攻击者复制银行与正规安全厂商的页面布局与视觉样式，搭建虚假安装站点，提供伪装成个人防火墙、键盘安全软件的安装程序下载入口，诱导目标人员点击下载。与此同时，攻击者利用已攻陷主机窃取真实会议日程信息，制作与官方Webex高度一致的虚假入会页面，以摄像头故障需安装补丁脚本为由，诱导用户下载并执行恶意压缩包与脚本文件，执行后会自动跳转至真实会议页面，以此降低目标人员的安全警惕。

在载荷投递与执行阶段，攻击流程呈现多层嵌套、无窗口静默执行、实时感染校验的特点。虚假页面提供的astx‑setup.exe与nos‑setup.exe程序，表面为正常安全软件安装包，实际为dropper载体，运行后会在显示正常安装界面的同时，于后台解密释放恶意文件MemLoader.dll，并利用regsvr32.exe完成无窗口执行。该加载器会为受害主机生成唯一UID标识，注册以ChromeUpdate、EdgeUpdate为名的计划任务，实现持久化驻留。更为关键的是，攻击者引入JSONPing技术，由恶意代码在本地62001或16106端口启动临时HTTP服务。仿冒页面通过JSONP跨域方式向本地服务发起请求，根据回调结果判断恶意程序是否成功执行，未成功则持续弹窗诱导安装，实现感染状态的实时监控与闭环控制。与此同时，载荷内置抗沙箱与抗调试机制，通过读取注册表信息识别VMware、VirtualBox虚拟机环境，枚举进程列表与窗口标题，一旦发现Wireshark、Process Monitor、x64dbg等分析工具便立即终止运行，规避动态检测与逆向分析。

在最终载荷落地环节，Kimsuky放弃传统单文件远控结构，采用全新三阶段模块化HttpSpy变种，显著提升隐蔽性与抗检测能力。第一阶段为spyInster.dll，以engine.dat形态存在，负责完成安装配置、字符串解密、API地址解析，并将主模块写入指定路径，同时以备用数据流形式存储配置信息，添加注册表自启动项；第二阶段为spyLoader.dll，以cacheMon.dat形态存在，通过内存反射方式加载HttpSpy主模块，定位并调用该家族标志性的hello导出函数，启动主程序；第三阶段为httpSpy.dll主模块，具备完整远控能力，支持命令执行、文件上传下载、屏幕截图、远程进程注入、数据窃取等功能，与C2服务器采用HTTP POST协议通信，传输数据经RC4加密与Base64编码处理，通信参数与格式高度固定，可稳定接收指令并回传数据。

从攻击基础设施来看，本次活动与Kimsuky历史行为存在强关联，攻击者复用XAMPP默认HTTPS证书，C2与分发服务器集中于该组织长期使用的ASN 19318、26666网段，域名大量使用韩国免费域名服务，采用与官方域名高度相似的混淆字符，具备明显的家族标识与资源复用特征。

三、事件关联与影响判定

综合代码特征、加密密钥、基础设施与战术流程，可高置信度判定本次攻击归属Kimsuky组织。攻击样本中复用了该家族长期使用的RC4加密密钥，保留hello导出函数、XOR字符串混淆、API哈希解析等标志性代码特征，jse脚本加载器结构、文件释放路径、执行流程与2021年以来的攻击样本高度一致，基础设施的证书、网段、域名模式均与历史活动完全匹配。

本次攻击将传统鱼叉钓鱼升级为场景化精准诱骗，结合真实信息仿冒与实时感染检测，大幅降低攻击暴露风险，提升入侵成功率。模块化分离的HttpSpy变种采用内存加载、合法进程伪装、数据流隐藏等手段，可有效绕过传统特征码查杀与终端检测工具，防御难度显著提升。攻击目标从传统军政核心人员扩展至普通企业员工、会议参与者等泛化目标，攻击边界持续扩大，一旦攻陷终端，可实现内网横向渗透、敏感数据窃取、业务系统操控，对机构运营与信息安全构成持续性威胁。

参考链接

https://www.enki.co.kr/media-center/blog/kimsuky-s-advanced-attack-techniques-jsonping-webex-spoofing-and-a-new-httpspy-variant

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《Kimsuky组织高级攻击技术分析报告——JSONPing、Webex 仿冒与新型HttpSpy变种》