Kimsuky ya no deja nada al azar: la página maliciosa comprueba automáticamente si la víctima ejecutó el archivo
La llamada parecía rutinaria, pero fue precisamente en esa cotidianidad donde se escondía el peligro principal.
El grupo norcoreano Kimsuky cambió nuevamente su enfoque en los ataques a Corea del Sur. En lugar de la distribución masiva de archivos maliciosos, los atacantes empezaron a falsificar páginas de trabajo habituales, usar detalles reales de reuniones y comprobar directamente desde el navegador si la víctima había ejecutado el programa malicioso.
El equipo ENKI Whitehat informó que hasta abril de 2026 Kimsuky atacó estructuras militares y empresas surcoreanas mediante páginas falsas de instalación de software de seguridad y una página falsa de Webex. En un caso los atacantes imitaron una página de descarga de componentes para un mensajero empresarial B2B. Los botones de instalación no conducían a archivos legítimos, sino a descargadores que ejecutaban un señuelo y desplegaban en secreto una cadena maliciosa.
En la segunda campaña Kimsuky falsificó la página de inicio de sesión de Webex. Según los autores del informe, la página se construyó en torno al calendario real de la reunión, por lo que es probable que los atacantes hubieran obtenido previamente acceso al dispositivo o a la cuenta de uno de los participantes. Tras cargar la página, se ofrecía a la víctima instalar un script para corregir el funcionamiento de la cámara. Ejecutar el archivo llevaba a la instalación de una nueva versión de HttpSpy y, a continuación, se abría una sala real de Webex, lo que reducía la probabilidad de detectar el engaño.
Los especialistas prestaron atención al método JSONPing. La página maliciosa, a través de JSONP, hacía una petición a un servidor local que ejecutaba un programa en el equipo infectado. Ese mecanismo permitía al sitio saber si se había ejecutado el archivo malicioso y volver a mostrar la ventana de instalación si la infección no había tenido éxito.
La nueva versión de HttpSpy adoptó un esquema de ejecución en tres etapas. Antes la herramienta maliciosa funcionaba como un solo archivo, pero ahora la cadena incluye instalador, descargador y módulo principal. El componente final se comunica con el servidor de control mediante HTTP POST, recibe comandos, los ejecuta a través de la línea de comandos, realiza capturas de pantalla y envía los resultados a los operadores.
El equipo ENKI Whitehat relaciona las campañas con Kimsuky por la coincidencia de claves RC4, secciones de código similares, la reutilización del nombre de la función exportada hello, la infraestructura y los certificados. Algunos indicios ya se habían observado en operaciones anteriores, incluidas las ataques con HttpSpy y HttpTroy. Según el equipo, el grupo sigue cambiando los métodos de entrega del malware, pero conserva huellas técnicas que ayudan a rastrear su infraestructura.