Kimsuky APT组织滥用VS Code隧道窃密，伪造Webex会议攻陷韩国军政单位

近期，知名 APT 组织 Kimsuky（别名 Velvet Chollima） 在 2026 年 3 至 4 月期间发动了多轮针对性网络攻击。本次行动主要瞄准韩国军方、政企单位，攻击手段融合了传统社会工程学钓鱼、老牌远控木马、自研新型恶意程序，更开始滥用 VS Code 隧道、Cloudflare 隧道等正规工具搭建隐蔽通信通道。该组织不仅持续迭代恶意样本，还创新出 JSONPing 感染校验机制，攻击链路愈发复杂、隐蔽，威胁范围也逐步向海外多国防务机构扩散。

1. 两轮精准钓鱼攻击，诱饵极具迷惑性

本轮攻击分为两大批次，攻击者根据目标场景定制不同仿冒页面，诱导用户主动下载运行恶意程序。

（1）仿冒本土安全软件页面（3 月攻击活动）

攻击者搭建虚假网页，伪装成韩国一款 B2B 通讯服务的安全组件安装界面，页面标注提供防火墙、键盘安全防护两款工具，精准瞄准企业内部通讯管理员群体。
页面内提供两款伪装安装包：nos-setup.exe、astx-setup.exe，分别冒充本土知名安全产品 nProtect Online Security 与 AhnLab ASTx。两款程序名称不同，但恶意行为完全一致。
用户执行安装包后，程序会通过 regsvr32.exe 加载第二阶段 DLL 载荷 MemLoader.dll，随后启动批处理脚本完成自删除，规避痕迹排查。
DLL 文件会创建系统计划任务实现持久驻留，并主动连接 C2 服务器，等待攻击者下发后续未知载荷。据分析，攻击者会监控恶意程序请求，按需向特定目标分发不同载荷，实现精准打击。

（2）伪造 Webex 会议页面（4 月攻击活动）

另一批攻击采用仿冒 Cisco Webex 会议页面的思路，攻击者先窃取真实会议日程与账号信息，搭建钓鱼站点并弹出弹窗，谎称摄像头异常，诱导用户下载修复脚本。
用户执行脚本后，设备会获取加密的 JSE 文件 fix-camera.jse；该文件运行后调用 PowerShell 下载中间加载器，经过反沙箱、反分析检测后，再次请求 C2 服务器拉取核心恶意文件。

多级加载器最终会落地运行老牌远控 HTTPSpy，完成主机控制。
与此同时，恶意程序会自动打开 meeting.html 并跳转至真实有效的 Webex 会议室，让受害者误以为只是正常进入会议，进一步降低警惕性。

2. 老牌远控 HTTPSpy 持续活跃，功能全面破坏力强

HTTPSpy 是 Kimsuky 长期使用的全功能远控木马，最早可追溯至 2022 年，过往已多次出现在该组织的攻击行动中。
2024 年 5 月至 9 月，该木马就曾通过凭证钓鱼，入侵德国某防务制造企业员工设备；直至本次 2026 年攻击活动，依旧是攻击者的核心主力工具。

其核心能力包含：

• 执行系统命令、上传 / 下载本地文件
• 进程管理、屏幕截图
• 向指定进程注入 DLL
• 攻击完成后自动清除自身痕迹

3. 创新校验技术：JSONPing，提升感染成功率

本次攻击还出现了一项名为 JSONPing 的新型辅助技术。
攻击者在恶意程序中植入逻辑，会在受害主机本地搭建简易服务，外部页面通过 JSONP 接口 实时查询恶意程序运行状态。
若检测到程序未正常启动，页面会再次弹出安装引导，反复诱导用户执行文件，大幅提升恶意载荷的投递成功率。目前该配套下载链接已失效，后续载荷具体功能暂未探明。

4. 武器库全面升级，多款新型恶意样本集体亮相

除经典的 HTTPSpy 外，Kimsuky 本次曝光了两大恶意程序集群：PebbleDash 与 AppleSeed，旗下多款新样本集中亮相，且部分样本采用 Rust 语言开发、借助大模型辅助编写，技术特征明显更新。

（1）PebbleDash 集群（主打远程控制）

该集群攻击范围较广，除韩国本土外，巴西、德国防务机构也遭到针对性打击，代表样本如下：

• HelloDoor： 2025 年 8 月首次现身，Rust 编写，依托大模型辅助开发，支持目录切换、延时休眠、命令执行等基础远控能力。
• HttpMalice： 2025 年 12 月出现的全新后门，可完成主机信息搜集、持久化部署、内网探测、屏幕截屏、内存加载载荷、数据回传等全套操作。
• HttpTroy： 通过 MemLoad 加载器启动，支持文件互传、反向 Shell、进程查杀、攻击痕迹清理，综合权限极高。

（2）AppleSeed 集群（主打数据窃取）

该集群主要瞄准政府类单位，核心目标为窃取敏感数据，衍生出多个版本：

• 基础版 AppleSeed： 分为投递端与窃密端。投递端负责下载恶意程序、执行远程命令；窃密端可盗取文档、截屏、记录键盘输入、枚举 USB 设备，还会专门抓取系统 C:\GPKI 目录下的证书信息。
• HappyDoor： 2021 年出现的进阶版本，继承并强化了 AppleSeed 的数据窃取能力，是该组织老牌窃密工具。

5. 战术重大转变：滥用正规工具，抛弃传统 C2 通道

本次分析中最值得警惕的变化，是 Kimsuky 开始大量滥用合法运维、开发工具构建隐蔽通道，彻底改变传统木马 C2 通信模式：

• 利用 VS Code 隧道功能实现远程持久访问，借助开发工具的原生能力接管主机；
• 搭配 Cloudflare Quick Tunnels、DWAgent 等远程运维工具开展后渗透操作。

这类方式最大优势在于：流量、行为均符合正规软件特征，常规安全设备难以识别拦截。

综合研判，Kimsuky 完整掌握旗下所有恶意样本源码，可按需修改迭代。
目前两大恶意集群分工明确：

• PebbleDash：侧重远程控制、横向移动，目标行业持续扩张；
• AppleSeed：侧重数据窃取，抓取 GPKI 证书已成为标志性行为。

攻击覆盖国防、军方、政府、医疗、机械制造、能源等多个关键领域，威胁等级持续走高。

6. 安全建议

针对本次 APT 攻击特征，建议企业安全团队做好以下防护：

• 警惕来路不明的安全软件安装包、会议修复工具，拒绝点击陌生仿冒网页；
• 监控终端中 VS Code、Webex、办公通讯软件的异常网络行为与文件下载；
• 加强终端计划任务、启动项巡检，及时发现恶意持久化行为；
• 针对 GPKI 证书、核心业务文档做好权限隔离与防窃取策略。

资讯来源：The Hacker News、ENKI、Kaspersky
想要跟进更多 APT 攻击手法与防御策略，可以关注云栈社区安全板块。