Nhóm tin tặc được chính phủ Triều Tiên bảo trợ với tên gọi Kimsuky (hay Velvet Chollima) vừa bị phát hiện đứng sau một loạt cuộc tấn công mạng mới nhắm vào các thực thể quân đội và doanh nghiệp Hàn Quốc trong suốt tháng 3 và tháng 4 năm 2026.
"Kimsuky đã áp dụng một loạt các chiến thuật kỹ thuật xã hội (social engineering) tùy chỉnh, chẳng hạn như giả mạo các trang cài đặt phần mềm bảo mật và tạo trang họp Webex giả mạo bằng cách tận dụng lịch trình họp có thật," ENKI cho biết trong một phân tích được công bố tuần này.
Các cuộc tấn công này được phát hiện là đang phát tán một biến thể của dòng mã độc đã biết có tên là HTTPSpy, bằng cách ngụy trang chúng dưới dạng các trình cài đặt phần mềm bảo mật của Hàn Quốc – một chiến thuật mà nhóm tin tặc này đã liên tục áp dụng kể từ năm 2023.
Trong chiến dịch mới nhất được quan sát vào tháng 3 năm 2026, đối thủ đã phát tán các payload độc hại thông qua một trang web giả mạo trang cài đặt phần mềm bảo mật của một dịch vụ nhắn tin B2B tại Hàn Quốc. Dựa trên bản chất của mồi nhử, người ta nghi ngờ rằng hoạt động này có thể được thiết kế đặc biệt để nhắm vào các quản trị viên hệ thống nhắn tin trong môi trường doanh nghiệp.
Trang web này tuyên bố cung cấp hai công cụ bảo mật: một tường lửa (firewall) và một chương trình bảo mật bàn phím. Khi người dùng không nghi ngờ bắt đầu tải xuống, nó sẽ tải về một trong hai tệp thực thi – "nos-setup.exe" và "astx-setup.exe" – giả mạo nProtect Online Security và AhnLab Safe Transaction (ASTx). Mặc dù tên gọi khác nhau, nhưng hành vi độc hại bên trong chúng là hoàn toàn giống nhau.
Nhiệm vụ chính của các tệp nhị phân này là khởi chạy một payload DLL giai đoạn hai ("MemLoader.dll") thông qua "regsvr32.exe", sau đó một đoạn mã batch sẽ chạy để tự xóa chúng khỏi ổ đĩa. Tệp DLL này thiết lập sự hiện diện lâu dài (persistence) trên máy chủ bằng cách sử dụng scheduled task và liên lạc với máy chủ điều khiển (C2) để lấy một payload khác hiện chưa rõ danh tính.
"Kẻ tấn công có khả năng đã giám sát các yêu cầu GET định kỳ từ mã độc và phân phối payload một cách có chọn lọc cho các nạn nhân cụ thể," ENKI nhận định.
Trong một chiến dịch khác vào tháng 4 năm 2026, một trang web giả mạo Cisco Webex đã được sử dụng để hiển thị thông báo pop-up yêu cầu nạn nhân tải xuống và chạy một đoạn mã script để khắc phục sự cố truy cập camera. Hành động này dẫn đến việc tải về một tệp lưu trữ ZIP chứa tệp JavaScript được mã hóa (JSE) mang tên "fix-camera.jse".
Việc thực thi tệp JSE dẫn đến việc triển khai một trình tải xuống trung gian ("mTSTCv8.mdxm") bằng PowerShell, sau đó nó sẽ thực hiện các kiểm tra chống phân tích và liên lạc với máy chủ C2 để lấy mã độc giai đoạn tiếp theo ("engine.dat" hoặc "spyInster.dll"). Ở giai đoạn cuối, tệp DLL sẽ thả một thành phần loader ("cacheMon.dat"), sau đó thực thi HTTPSpy trên hệ thống bị xâm nhập.
HTTPSpy là một trojan truy cập từ xa (RAT) đầy đủ tính năng, hỗ trợ nhiều khả năng như thực thi lệnh shell, tải lên/tải xuống tệp, thực thi tiến trình, chụp ảnh màn hình, tiêm (inject) đường dẫn DLL vào các PID tiến trình cụ thể và tự xóa dấu vết khỏi máy trạm.
Đây không phải là lần đầu tiên Kimsuky triển khai HTTPSpy. Trong báo cáo về bối cảnh đe dọa tại châu Âu năm 2025, CrowdStrike cho biết nhóm tin tặc này có khả năng đã nhắm vào nhân viên của một nhà sản xuất quốc phòng Đức thông qua chiến dịch lừa đảo chiếm đoạt thông tin đăng nhập bằng mã độc này từ tháng 5 đến tháng 9 năm 2024. Lần đầu tiên HTTPSpy được sử dụng là từ năm 2022.
Đồng thời, mã độc cũng thả và mở một tệp HTML có tên "meeting.html", tệp này ngay lập tức chuyển hướng nạn nhân đến một phòng họp Webex. Việc truy cập URL sẽ mở ra một phòng họp Webex hợp lệ liên quan đến một sự kiện có thật đã được lên lịch diễn ra cùng thời điểm đó.
"Điều này cho thấy kẻ tấn công có khả năng đã xâm nhập vào thiết bị hoặc tài khoản của một thành viên tham gia để lấy lịch trình cuộc họp, sau đó tạo trang họp giả để phát tán mã độc cho những người tham dự khác," công ty an ninh mạng cho biết.
ENKI cũng phát hiện thêm các trang web giả mạo thực hiện truy vấn máy chủ cục bộ do mã độc thiết lập trên máy nạn nhân thông qua JSONP (JSON with Padding) để xác minh trạng thái thực thi mã độc và hiển thị lời nhắc cài đặt nếu nó chưa chạy. Kỹ thuật này được đặt mật danh là JSONPing.
Kimsuky tiến hóa với HelloDoor và HttpMalice
Tiết lộ này được đưa ra khi Kaspersky chi tiết hóa việc nhóm tin tặc sử dụng Microsoft Visual Studio Code (VS Code) tunneling, Cloudflare Quick Tunnels, DWAgent, các mô hình ngôn ngữ lớn (LLM) và ngôn ngữ lập trình Rust trong các chiến dịch mới nhất.
"Cụ thể, Kimsuky đã lạm dụng cơ chế VS Code tunneling hợp lệ để thiết lập sự hiện diện lâu dài và phân phối công cụ quản lý từ xa mã nguồn mở DWAgent cho các hoạt động sau xâm nhập," công ty an ninh mạng Nga cho biết. "Các hoạt động này ảnh hưởng đến nhiều lĩnh vực khác nhau tại Hàn Quốc, tác động đến cả các thực thể công và tư."
Chuỗi tấn công dựa vào nhiều loại dropper được viết bằng JSE, PIF, SCR và EXE để phân phối hai dòng mã độc chính: PebbleDash và AppleSeed. Trong khi các cuộc tấn công PebbleDash cũng được ghi nhận nhắm vào các tổ chức quốc phòng ở Brazil và Đức, thì cụm AppleSeed chủ yếu nhắm vào các tổ chức chính phủ.
Một số dòng mã độc chính được phát tán bởi các dropper bao gồm:
- HelloDoor: một biến thể PebbleDash dựa trên Rust, được phát hiện lần đầu vào tháng 8 năm 2025 và có khả năng được phát triển bằng LLM. Nó hỗ trợ các chức năng cơ bản như thiết lập thư mục hiện tại, tạm dừng trong một khoảng thời gian nhất định và chạy lệnh.
- HttpMalice: biến thể backdoor mới nhất của PebbleDash, xuất hiện muộn nhất vào tháng 12 năm 2025. Nó có khả năng thu thập thông tin về hệ thống bị xâm nhập, thiết lập persistence, thực hiện trinh sát bằng các lệnh Windows gốc, chụp ảnh màn hình, nạp payload vào bộ nhớ và trích xuất dữ liệu.
- HttpTroy: một backdoor được phân phối qua loader mang tên MemLoad, cho phép tải lên/tải xuống tệp, chụp ảnh màn hình, thực thi lệnh, nạp tệp thực thi vào bộ nhớ, reverse shell và xóa dấu vết.
- AppleSeed: bao gồm hai biến thể Dropper và Spy. Dropper chịu trách nhiệm tải xuống mã độc bổ sung, trong khi bản Spy thu thập các thông tin nhạy cảm như tài liệu, ảnh màn hình, thao tác bàn phím và danh sách ổ đĩa USB.
- HappyDoor: một phiên bản nâng cao của AppleSeed xuất hiện lần đầu vào năm 2021.
Một sự thay đổi chiến thuật đáng chú ý khác liên quan đến việc lạm dụng tính năng VS Code Remote Tunneling hợp lệ để thiết lập quyền truy cập từ xa bí mật vào thiết bị của nạn nhân, từ đó loại bỏ nhu cầu về các kênh C2 dựa trên mã độc truyền thống.
"Phân tích của chúng tôi cho thấy kẻ tấn công vẫn giữ quyền truy cập vào mã nguồn gốc của các cụm mã độc và có khả năng sửa đổi chúng," nhà nghiên cứu Sojun Ryu của Kaspersky cho biết. "Hai cụm này có các lĩnh vực mục tiêu chồng chéo bao gồm quốc phòng, quân đội, chính phủ, y tế, máy móc và công nghiệp năng lượng."