Die Cyber-Bedrohungslage durch staatlich akkreditierte Hackergruppen erreicht eine neue Qualität der Tarnung. Wie aktuelle Berichte von ENKI und Kaspersky zeigen, hat die nordkoreanische Gruppe Kimsuky (auch bekannt als Velvet Chollima) ihre Angriffstaktiken drastisch verfeinert. Zwischen März und April 2026 zielte die Gruppe gezielt auf südkoreanische Militär- und Unternehmenseinrichtungen ab – und nutzt dabei Methoden, die es Verteidigern zunehmend schwerer machen, böswillige Aktivitäten von legitimem Netzwerkverkehr zu unterscheiden.
Social Engineering auf höchstem Niveau
Das bemerkenswerteste Beispiel für Kimsukys neue Taktiken ist die Kompromittierung eines echten Webex-Meeting-Zeitplans. Anstatt nur einfache Phishing-Mails zu versenden, erstellten die Angreifer eine gefälschte Webex-Seite. Diese leitete das Opfer in einen tatsächlichen, zum selben Zeitpunkt stattfindenden Konferenzraum weiter – allerdings nur nach dem Download einer vermeintlichen Kamera-Fix-Datei. Diese Täuschung ist hochgradig raffiniert: Sie suggeriert dem Opfer Authentizität durch den Kontext eines realen Termins. Dies deutet darauf hin, dass Kimsuky im Vorfeld bereits Geräte oder Konten von Dienstleistern kompromittiert hatte, um an diese sensiblen Zeitpläne zu gelangen.
Zusätzlich nutzte die Gruppe gefälschte Installationsseiten für südkoreanische Sicherheitssoftware (wie nProtect oder ASTx), die gezielt auf Administratoren von B2B-Messaging-Dienste abzielten. Die heruntergeladenen Dateien (nos-setup.exe oder astx-setup.exe) luden eine zweite Stufe (MemLoader.dll), die sich nach der Ausführung selbst von der Festplatte löschte – eine bewährte Taktik, um forensische Spuren zu verwischen.
HTTPSpy und das JSONPing-Verfahren
Der finale Payload in der Webex-Kampagne war HTTPSpy, ein voll ausgestatteter Remote Access Trojan (RAT). Dieser ermöglicht Shell-Befehle, Datei-Uploads/-Downloads, Screenshot-Capturing und Prozess-Injektion. Das erste Mal dokumentiert wurde HTTPSpy bereits 2022, im Jahr 2024 zielte es laut CrowdStrike auf Mitarbeiter eines deutschen Rüstungskonzerns ab – was die internationale Reichweite der Gruppe unterstreicht.
Neu ist jedoch das von ENKI identifizierte JSONPing-Verfahren. Die Malware richtet auf dem Gerät des Opfers einen lokalen Server ein. Über JSONP (JSON with Padding) prüft die gefälschte Webseite in Echtzeit, ob die Malware auf dem Zielsystem bereits aktiv ist. Ist das nicht der Fall, fordert sie den Nutzer auf, die Installation durchzuführen. Diese Art von interaktivem, reaktivem Phishing maximiert die Erfolgsquote drastisch.
Evolution der Malware: Von HelloDoor bis HttpMalice
Kaspersky zeichnet in einem parallelen Bericht ein noch breiteres Bild der technologischen Evolution Kimsukys. Die Gruppe diversifiziert ihre Tools und nutzt nun auch die Programmiersprache Rust sowie Large Language Models (LLMs) für die Malware-Entwicklung. Ein Beispiel ist HelloDoor, eine Rust-basierte Variante des PebbleDash-Malware-Clusters, die wahrscheinlich mithilfe von KI-Modellen entwickelt wurde.
Dazu gesellen sich HttpMalice (ein Backdoor mit Fokus auf Reconnaissance und Screenshot-Capturing), HttpTroy (ein mächtiges Tool für Reverse Shells und Datei-Exfiltration) sowie die AppleSeed-Familie (mit Dropper- und Spy-Varianten). Besonders brisant: AppleSeed zielt zunehmend auf die Exfiltration von GPKI-Zertifikaten ab – kryptografische Identitäten, die in Südkorea für sichere Regierungs- und Unternehmenskommunikation essenziell sind.
Living off the Land: Der VS Code Tunnel-Trick
Die vielleicht alarmierendste Entwicklung ist der Missbrauch von Microsofts Visual Studio Code (VS Code) Tunneling. Anstatt aufwendig eigene Command-and-Control (C2)-Infrastruktur zu betreiben, die leicht von Firewalls blockiert werden könnte, nutzen die Angreifer legitime VS Code Remote Tunnel.
Diese Funktion ist für Entwickler gedacht, um remote auf Maschinen zuzugreifen. Kimsuky missbraucht sie, um persistenten Zugang zu kompromittierten Systemen herzustellen. Der Datenverkehr sieht für IDS/IPS-Systeme aus wie reguläre Entwicklerarbeit. Auch Cloudflare Quick Tunnels und das Open-Source-Tool DWAgent wurden für Post-Exploitation-Zwecke missbraucht.
Fazit und Einordnung
Die Berichte zeigen einen Reifeprozess bei Kimsuky, der für Verteidiger erhebliche Kopfschmerzen bereitet. Die Gruppe verabschiedet sich von auffälligen, rein eigenen C2-Infrastrukturen hin zu "Living off the Land"-Taktiken (VS Code, Cloudflare). Gleichzeitig wird der Entwicklungszyklus der Malware durch KI (LLMs) und moderne Sprachen (Rust) beschleunigt und erschwert die statische Analyse.
Für Blue Teams bedeutet das: Die klassische Begrenzung auf IOC-basierte Erkennung reicht nicht mehr aus. Unternehmen müssen den Fokus auf Verhaltensanalysen (Behavioral Analytics) legen. Unerwartete VS Code Tunnel-Verbindungen auf Servern, die nicht von Entwicklern genutzt werden, sind ebenso ein Warnsignal wie das plötzliche Auftauchen von JSONP-Requests an lokale Server. Zudem zeigt der Diebstahl von GPKI-Zertifikaten, dass APTs zunehmend das Vertrauensmodell von PKI-Infrastrukturen ins Visier nehmen. Wenn die Angreifer mit legitimen Zertifikaten und legitimer Infrastruktur arbeiten, verschwimmt die Grenze zwischen Freund und Feind endgültig.
Quelle: The Hacker News
