Read our Kimsuky HttpSpy malware analysis. Discover how the group utilizes a novel JSONPing method and fake Webex portals to target endpoints. #Kimsuky #HttpSpy #MalwareAnalysis #Cybersecurity #ThreatIntel #InfoSec meterpreter.org/kimsuky-http…

偽のセキュリティソフト配布ページが、被害者のPCでマルウェアが動いているかをリアルタイムで確認し、動いていなければ再びインストールを促す手口が報告されています。北朝鮮系のKimsukyが韓国の軍・企業を狙い2026年3〜4月にかけて確認されたキャンペーンで、「JSONPing」と名付けられています。配布ページが、マルウェア自身が被害者PC上に立てたローカルサーバーへJSONPで問い合わせ、稼働の有無を確かめる仕組みとのこと。 韓国製セキュリティソフトの偽装自体は2023年から続く手口ですが、今回は配信ページへの稼働確認の組み込みや、盗んだ実在の会議予定を使った出席者への拡散など、配信を確実にするための作り込みが加わっています。 【要点の整理】 ・JSONPing：偽の配布ページが、マルウェアの立てたローカルサーバーへJSONPで問い合わせ、実行中かをリアルタイム判定。未実行なら再度インストールを促し、配信の成功率を高める狙いとされる ・Webex偽装で確認された最終ペイロードは遠隔操作型のHTTPSpy。従来の単一バイナリ型から「インストーラー→ローダー→HTTPSpy」の3段構成に作り替えられたとされる ・Webex偽装では、本物の会議室につながる偽ページを使用。攻撃者が関係者の端末やアカウントを侵害して実在の会議予定を入手したとみられ、同じ会議の出席者へマルウェアを配ったとされる ・HTTPSpyはシェル実行、ファイル送受信、スクリーンショット、指定プロセスへのDLLパス注入、自己消去などに対応 ・別途Kasperskyは、VS CodeのリモートトンネルやDWAgent、Cloudflareのトンネルサービスといった正規の仕組みを悪用して遠隔操作や通信の隠蔽を行う手口や、LLMで開発したとみられるRust製バックドア「HelloDoor」なども報告 詳細は以下を参照： enki.co.kr/en/media-center/b…

What stands out is how they stole a real meeting schedule to create a believable fake Webex page. They also added JSONPing to confirm infection before delivering the next payload. The group is increasing use of DWAgent for post-exploitation and deploying newer backdoors like HttpMalice. Defense and government teams should watch for suspicious downloads closely.

Callback Verification Routine in Phishing Pages xxxx/recaptcha.html -> secure./personcheck.o-r.kr ref: Kimsuky's Advanced Attack Techniques: JSONPing, Webex Spoofing, and a New HttpSpy Variant enki.co.kr/en/media-center/b…

"Kimsuky의 고도화된 공격 기법 분석: JSONPing, Webex 사칭, 그리고 새로운 HttpSpy 변종" published by @ENKI_official_X. #HttpSpy, #JSONPing, #Kimsuky, #DPRK, #CTI

"Kimsuky's Advanced Attack Techniques: JSONPing, Webex Spoofing, and a New HttpSpy Variant" published by @ENKI_official_X. #HttpSpy, #JSONPing, #Kimsuky, #DPRK, #CTI

Through April 2026, ENKI WhiteHat detected Kimsuky campaigns targeting South Korean military and corporate sectors. The threat actor used spoofed security software pages and fake Webex meeting pages for malware delivery, while employing a new "JSONPing" technique to verify infections in real time. Our findings include a new three-stage HttpSpy infection chain and multiple links to Kimsuky. Read our in-depth report and attribution analysis: enki.co.kr/en/media-center/b…