HackerangriffeMalwareCyberkriminalität

Nordkoreanische Hackergruppe Kimsuky erweitert Arsenal mit raffinierten Angriffstools

Von CyberDeutsch Redaktion
Nordkoreanische Hackergruppe Kimsuky erweitert Arsenal mit raffinierten Angriffstools
Zusammenfassung

Die nordkoreanische Hacker-Gruppe Kimsuky intensiviert ihre Cyberangriffe und baut ihr Malware-Arsenal erheblich aus. Wie aktuelle Berichte zeigen, hatte die staatlich unterstützte Bedrohung zwischen März und April 2026 vor allem südkoreanische Militär- und Unternehmenseinrichtungen im Visier. Die Angreifer setzen dabei auf raffinierte Social-Engineering-Taktiken: Sie täuschen Installations-Seiten bekannter koreanischer Sicherheitssoftware vor und nutzen sogar manipulierte Webex-Meeting-Seiten, um ihre Malware HTTPSpy zu verbreiten. Das besonders Bemerkenswerte ist die technologische Weiterentwicklung – Kimsuky nutzt nun legitimate Tools wie Microsoft Visual Studio Code Tunnels und Cloudflare Quick Tunnels, um sich Zugriff auf kompromittierte Systeme zu sichern, was traditionelle Malware-C2-Kanäle überflüssig macht. Für deutsche Behörden und Unternehmen ist dies ein Warnsignal: Kaspersky hat bereits dokumentiert, dass Kimsuky auch europäische Ziele wie Rüstungshersteller angreift. Die fortgeschrittenen Techniken der Gruppe – von JavaScript-basierten Droppern bis zur Extraktion von GPKI-Zertifikaten – zeigen ein kalibriertes Arsenal, das sowohl Datenabfluss als auch persistente Kontrolle ermöglicht. Deutsche Organisationen in kritischen Sektoren sollten ihre Verteidigungsmaßnahmen dringend überprüfen.

Die Hackergruppe Kimsuky setzt bei ihren neuesten Kampagnen auf Täuschung im großen Stil. Die Angreifer erstellen gefälschte Webseiten, die legitime südkoreanische Sicherheitssoftware-Installer nachahmen – ein bewährtes Muster, das die Gruppe seit 2023 konsistent anwendet. In der März-Kampagne 2026 zielten die Cyberkriminellen auf Administratoren von B2B-Messaging-Diensten ab, indem sie eine gefälschte Installations-Seite für eine südkoreanische Sicherheitssoftware verbreiteten. Interessierte Nutzer wurden dazu verleitet, zwei ausführbare Dateien herunterzuladen: “nos-setup.exe” und “astx-setup.exe”, die sich als nProtect Online Security und AhnLab Safe Transaction ausgaben.

Beide Dateien enthalten identische Schadcode-Funktionalität. Sie laden eine DLL-Payload namens “MemLoader.dll” über “regsvcs.exe” nach und löschen sich selbst vom System. Die DLL etabliert Persistenz durch einen geplanten Task und verbindet sich mit Command-and-Control-Servern. Bemerkenswert: Die Angreifer überwachten die Zugriffe und lieferten Payloads selektiv an spezifische Opfer – ein Zeichen hochentwickelter Operationen.

In einer parallelen April-Kampagne nutzten Kimsuky-Operateure eine gefälschte Cisco-Webex-Seite, die Nutzer aufforderte, ein Kamera-Fix-Skript herunterzuladen. Das resultierende JavaScript-Skript laden weitere Schadsoftware herunter, die schließlich HTTPSpy installierte – einen vollwertigen Remote-Access-Trojaner mit breitem Funktionsspektrum: Shell-Befehle, Datei-Upload/-Download, Screenshot-Erfassung, DLL-Injection.

Noch raffinierter: Kimsuky setzte echte Webex-Meeting-Zeitpläne in gefälschten Meeting-Seiten ein. Die Forscher vermuten, dass die Angreifer vorher bereits Dienste infiltriert hatten, um an echte Kalendereinträge zu gelangen.

Eine weitere taktische Innovation ist die Nutzung von Microsoft Visual Studio Code Tunneling und dem Open-Source-Tool DWAgent zur Post-Exploitation. Dies ermöglicht Fernzugriff ohne traditionelle Malware-basierte C2-Kanäle – deutlich schwerer zu entdecken als klassische Attacken.

Die Malware-Familien PebbleDash und AppleSeed wurden auch in Deutschland und Brasilien entdeckt. AppleSeed fokussiert auf Datendiebstahl und zielgerichtete GPKI-Zertifikat-Extraktion – ein Hinweis auf Interesse an kritischen Infrastrukturen. Das Russo-Sicherheitsunternehmen Kaspersky warnt, dass Kimsuky über uneingeschränkten Zugriff auf Quellcodes verfügt und kontinuierlich neue Varianten produziert.

Ähnliche Artikel