Nel corso di marzo e aprile 2026 il gruppo di minaccia sponsorizzato da uno stato noto come Kimsuky ha condotto nuove campagne di cyber attacchi contro organizzazioni militari e aziende in Corea del Sud, puntando su tecniche di social engineering sempre piu mirate. Al centro delle operazioni emerge una variante del malware HTTPSpy, distribuita tramite pagine web contraffatte che imitano strumenti di sicurezza e servizi di videoconferenza, con l obiettivo di ottenere persistenza e facilitare lo spionaggio informatico.
Una delle catene di infezione osservate sfrutta falsi siti di installazione di software di sicurezza usati in ambito aziendale. La pagina propone due presunti strumenti, un firewall e un programma di protezione della tastiera, inducendo gli utenti a scaricare file eseguibili camuffati. I nomi possono variare, ma il comportamento malevolo risulta identico. Dopo l esecuzione, il dropper avvia un payload DLL di secondo stadio tramite regsvr32.exe, elimina le tracce dal disco con uno script batch e imposta la persistenza attraverso una operazione pianificata. A questo punto il sistema compromesso contatta un server di comando e controllo per ricevere ulteriori componenti, potenzialmente selezionati in base al valore della vittima.
Una seconda campagna utilizza una finta pagina Webex che mostra un messaggio per risolvere problemi della videocamera. La vittima viene spinta a scaricare e avviare uno script che porta al download di un archivio ZIP contenente un file JSE cifrato. Da li parte un downloader intermedio via PowerShell, capace di eseguire controlli anti analisi e recuperare altri moduli fino al caricamento finale di HTTPSpy.
HTTPSpy si comporta come un remote access trojan completo, con funzioni per eseguire comandi, trasferire file, avviare processi, catturare screenshot, interagire con processi tramite PID e cancellarsi per ostacolare le indagini. Le campagne includono anche meccanismi di verifica in tempo reale dell infezione tramite richieste locali basate su JSONP, utili per capire se il malware e attivo e aumentare il tasso di successo della distribuzione.
Parallelamente si registra un ampliamento dell arsenale con backdoor e loader legati a famiglie come PebbleDash e AppleSeed, oltre a varianti come HelloDoor basata su Rust e HttpMalice, orientate a ricognizione, persistenza, raccolta informazioni ed esfiltrazione dati. Un cambiamento tattico rilevante e l abuso di funzionalita legittime come VS Code Remote Tunneling e tunnel rapidi, che consentono accesso remoto furtivo riducendo la dipendenza da canali C2 tradizionali e complicando il rilevamento nei contesti di endpoint security.