2026-06-04 04:11:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 朝鲜黑客组织Kimsuky在2026年攻击中升级手段，通过伪造安全软件页面和Webex会议钓鱼传播HTTPSpy木马，并创新性滥用VSCode隧道建立隐蔽C2通道。该组织引入Rust与LLM辅助开发，其恶意软件集群持续演进，针对国防、政府、能源等多行业。建议加强社会工程学防范、监控异常计划任务与VSCode隧道行为，并定期开展安全演练。 综合评分： 80 文章分类： 恶意软件,威胁情报,漏洞分析,安全建设,红队

cover_image

朝鲜黑客组织升级攻击手段：HTTPSpy木马肆虐，VS Code隧道成新利器

河北镌远河北镌远

河北镌远网络科技有限公司

2026年6月2日 15:00 河北

在小说阅读器读本章

去阅读

攻击升级

据网络安全公司ENKI最新发布的报告，朝鲜国家支持的黑客组织Kimsuky（又称Velvet Chollima）在2026年3月至4月期间，针对韩国军方和企业实体发动了新一轮网络攻击。

Kimsuky采用了更加定制化的社会工程学策略，包括伪造安全软件安装页面，以及利用真实会议日程制作的虚假Webex会议页面。这一系列攻击显示出该组织在战术层面的持续演进。

HTTPSpy攻击链

虚假安全软件安装页面

攻击者通过仿冒韩国安全软件安装程序的方式，投放了HTTPSpy恶意软件变种。这种手法自2023年以来被该组织持续使用，但此次攻击更具针对性。

在2026年3月的最新攻击活动中，攻击者创建了仿冒韩国B2B通讯服务安全软件安装页面的虚假网站，专门针对企业环境中的通讯系统管理员传播恶意载荷。

伪装成两款知名安全工具

虚假页面声称提供两款安全工具：

·防火墙（伪装成nProtect Online Security）

·键盘安全程序（伪装成AhnLab Safe Transaction）

用户下载的实际文件为nos-setup.exe和astx-setup.exe。虽然名称不同，但两者内嵌的恶意行为完全一致。

攻击链完整流程

1. 恶意二进制文件通过regsvr32.exe加载第二阶段DLL载荷（MemLoader.dll）

2. 运行批处理脚本进行自删除，消除痕迹

3. DLL创建计划任务实现持久化

4. 连接C2服务器获取未知载荷

ENKI指出：“攻击者可能监控恶意软件的周期性GET请求，选择性地向特定目标投递载荷。”

Webex会议钓鱼

利用真实会议日程制作虚假页面

在2026年4月的另一次攻击中，攻击者使用仿冒Cisco Webex的虚假网页弹出提示，诱骗受害者下载运行解决摄像头访问问题的脚本。

多阶段载荷投递

1. 初始诱饵：受害者下载包含加密JavaScript（JSE）文件（fix-camera.jse）的ZIP压缩包

2. 中间下载器：JSE执行后通过PowerShell部署中间下载器（mTSTCv8.mdxm）

3. 反分析检测：下载器进行反分析检测后连接C2

4. 最终载荷：获取下一阶段恶意软件（engine.dat或spyInster.dll）

5. HTTPSpy释放：DLL释放加载组件（cacheMon.dat），最终执行HTTPSpy

实时感染验证技术

恶意软件还会释放并打开名为meeting.html的HTML文件，将受害者重定向至真实的Webex会议室。

ENKI分析称：“这表明攻击者可能已入侵某位参会成员的设备或账户获取会议日程，然后制作虚假会议页面向其他参会者分发恶意软件。”

此外，ENKI还发现其他虚假网页会通过JSONP查询受害者机器上由恶意软件搭建的本地服务器，以验证恶意软件执行状态。该技术被命名为JSONPing，但由于相关URL目前已失效，其具体性质尚不明确。

HTTPSpy

HTTPSpy是一款功能完备的远程访问木马，支持以下操作：

HTTPSpy的历史踪迹

这不是Kimsuky首次部署HTTPSpy。根据CrowdStrike 2025年欧洲威胁态势报告，该组织曾在2024年5月至9月期间，通过凭证钓鱼攻击针对德国防务制造商员工投放该木马。其最早使用记录可追溯至2022年。

Kimsuky技术演进

卡巴斯基最新报告披露，Kimsuky在近期攻击中开始使用多项新技术，展现出持续进化能力：

新增攻击工具与技术

·Microsoft Visual Studio Code隧道

·Cloudflare Quick Tunnels

·DWAgent

·大语言模型（LLM）辅助开发

·Rust编程语言

核心变化：滥用VS Code远程隧道

一个显著战术转变是滥用VS Code远程隧道功能建立隐蔽访问，无需传统基于恶意软件的C2通道。这一技术可绕过传统安全检测，大幅提升攻击隐蔽性。

攻击链技术组合

攻击链使用JSE、PIF、SCR和EXE格式的投放器，分发两大恶意软件家族：

·PebbleDash（主要针对国防组织，涉及巴西和德国）

·AppleSeed（主要针对政府机构）

主要恶意软件家族详解

1. HelloDoor

·定位：基于Rust的PebbleDash变种

·发现时间：2025年8月

·特点：可能使用LLM开发，支持设置当前目录、定时休眠、命令执行等基础功能

2. HttpMalice

·定位：PebbleDash最新后门变种

·发现时间：2025年12月前

·功能：收集系统信息、建立持久化、使用原生Windows命令侦察、截屏、内存加载载荷、执行命令和窃取输出

3. HttpTroy

·投放方式：通过MemLoad加载器投放

·功能：文件上传下载、截屏、命令执行、内存加载可执行文件、反向shell、进程终止、痕迹清除

4. AppleSeed

·变种：Dropper（负责下载额外恶意软件）和Spy（收集敏感信息）

·敏感信息：文档、截图、键盘记录、USB驱动器列表，包括C:\GPKI目录数据

5. HappyDoor

·定位：AppleSeed的高级版本

·首次出现：2021年

攻击目标与战略意图

卡巴斯基研究员Sojun Ryu指出：

“分析表明攻击者保留了对恶意软件集群源代码的修改能力。两大集群的攻击目标存在重叠，涵盖国防、军事、政府、医疗、机械和能源行业。”

两大集群分化

防御建议

1.加强社会工程学防范：对来源不明的安全软件安装包、会议邀请保持警惕，务必通过官方渠道验证。

2. 监控异常计划任务：HTTPSpy依赖计划任务持久化，应建立异常检测机制。

3. 限制脚本执行：对JSE、PIF、SCR等脚本格式加强管控。

4. 监控VS Code隧道异常：企业应监控非授权的VS Code远程隧道建立行为。

5. 定期安全演练：模拟类似攻击链进行红蓝对抗，检验防御体系。

Kimsuky组织在2026年的攻击活动中展现出三大演进趋势：

社工手段更精准：利用真实会议日程制作诱饵，入侵真实参会者设备获取情报。
隐蔽通道更创新：滥用VS Code隧道等合法工具建立C2通信。3. 技术栈更多元：引入Rust、LLM辅助开发，恶意软件集群持续迭代。

面对持续进化的国家级威胁，企业需要建立动态、主动、实战化的安全防御体系，而非被动依赖边界防护。

免责声明：因传播、利用本公众号“河北镌远网络科技有限公司”所提供信息而产生的任何直接或间接后果及损失，均由使用者本人自行承担，本公众号及作者不承担任何责任。本公众号所发表内容中，凡注明来源的，版权归原出处所有；无法查证版权或未注明出处的，均来自网络并系转载，转载旨在传递更多信息，版权归原作者所有。若存在侵权情况，请联系小编，我们将第一时间删除处理。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河北镌远网络科技有限公司河北镌远河北镌远《朝鲜黑客组织升级攻击手段：HTTPSpy木马肆虐，VS Code隧道成新利器》