An ninh mạng

Kimsuky nâng cấp kho vũ khí: Triển khai HTTPSpy, HelloDoor và lạm dụng VS Code Tunnels

Nhóm tin tặc Kimsuky (Triều Tiên) đang mở rộng chiến dịch tấn công nhắm vào các tổ chức quân sự và doanh nghiệp Hàn Quốc bằng cách sử dụng các kỹ thuật tinh vi như HTTPSpy, HelloDoor và lạm dụng tính...

Nguyen Hung
1 Tháng 6, 2026 3 Min Read
1 0

Nhóm tin tặc được nhà nước bảo trợ Kimsuky (còn gọi là Velvet Chollima) vừa bị phát hiện thực hiện hàng loạt chiến dịch tấn công mạng mới nhắm vào các thực thể quân sự và doanh nghiệp tại Hàn Quốc trong giai đoạn tháng 3 và tháng 4/2026. Theo phân tích từ ENKI, nhóm này đang áp dụng các chiến thuật kỹ nghệ xã hội (social engineering) ngày càng tinh vi.

Chiến dịch phát tán HTTPSpy

Kimsuky đã sử dụng các trang web giả mạo phần mềm bảo mật và lịch họp Webex để lừa người dùng tải về mã độc. Cụ thể, các đối tượng này giả danh trang cài đặt của các dịch vụ nhắn tin B2B tại Hàn Quốc, cung cấp các công cụ giả mạo như tường lửa hoặc phần mềm bảo mật bàn phím. Các tệp thực thi độc hại (như nos-setup.exeastx-setup.exe) được thiết kế để trông giống như các giải pháp từ nProtect Online Security hoặc AhnLab Safe Transaction.

Khi được kích hoạt, mã độc sẽ triển khai MemLoader.dll thông qua regsvr32.exe, sau đó tự xóa dấu vết. Mã độc này thiết lập kết nối tới máy chủ C2 (Command and Control) để nhận payload tiếp theo. Trong một chiến dịch khác, Kimsuky giả mạo Cisco Webex, yêu cầu nạn nhân chạy script để “sửa lỗi camera”, từ đó dẫn đến việc cài đặt HTTPSpy – một Remote Access Trojan (RAT) toàn diện với khả năng thực thi lệnh shell, chụp ảnh màn hình, tiêm DLL và đánh cắp dữ liệu.

Điểm đáng chú ý là Kimsuky còn sử dụng kỹ thuật “JSONPing” để kiểm tra trạng thái lây nhiễm theo thời gian thực và đánh cắp lịch họp thực tế để tạo ra các trang web giả mạo có độ tin cậy cao, khiến nạn nhân khó lòng nhận biết.

Sự tiến hóa với HelloDoor và VS Code Tunnels

Báo cáo từ Kaspersky cho thấy Kimsuky không chỉ dừng lại ở các phương thức cũ mà còn tích hợp các công cụ hiện đại như VS Code tunneling, Cloudflare Quick Tunnels, DWAgent, và tận dụng các mô hình ngôn ngữ lớn (LLM) để phát triển mã độc bằng ngôn ngữ Rust.

Các dòng mã độc đáng chú ý trong kho vũ khí mới của nhóm bao gồm:

  • HelloDoor: Biến thể của PebbleDash được viết bằng Rust, có khả năng thực thi lệnh cơ bản và được cho là phát triển với sự hỗ trợ của AI.
  • HttpMalice: Một backdoor mới xuất hiện từ cuối năm 2025, tập trung vào trinh sát hệ thống và exfiltration dữ liệu.
  • AppleSeed: Dòng mã độc chuyên biệt trong việc đánh cắp thông tin nhạy cảm, bao gồm chứng chỉ GPKI và dữ liệu từ USB.

Đặc biệt, việc lạm dụng tính năng VS Code Remote Tunneling cho phép Kimsuky duy trì quyền truy cập từ xa vào thiết bị nạn nhân mà không cần phụ thuộc vào các kênh C2 truyền thống. Điều này cho thấy sự thích nghi nhanh chóng của nhóm tin tặc này trong việc tận dụng các công cụ hợp lệ để thực hiện các hành vi độc hại, gây khó khăn cho việc phát hiện và ngăn chặn từ các giải pháp bảo mật truyền thống.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept