In der im März 2026 beobachteten Kampagne verteilte Kimsuky laut ENKI Schadsoftware über eine gefälschte Webseite, die die Installationsseite eines südkoreanischen B2B-Messaging-Dienstes nachahmte. Wegen der Art des Köders vermuten die Forscher, dass die Aktion gezielt Messaging-Administratoren in Unternehmen ansprechen sollte.

Die Seite bot vorgeblich zwei Sicherheitswerkzeuge an: eine Firewall und ein Programm zur Tastatursicherheit. Beim Download erhielten die Opfer eine der beiden Dateien „nos-setup.exe" oder „astx-setup.exe", die sich als nProtect Online Security beziehungsweise AhnLab Safe Transaction (ASTx) ausgaben. Trotz unterschiedlicher Namen war ihr Schadverhalten identisch: Über „regsvr32.exe" wurde eine DLL der zweiten Stufe („MemLoader.dll") gestartet, anschließend löschten sich die Dateien per Batch-Skript selbst. Die DLL richtete über eine geplante Aufgabe Persistenz ein und kontaktierte einen Command-and-Control-Server, um eine bislang unbekannte Nutzlast abzurufen. Laut ENKI überwachte der Angreifer vermutlich die wiederkehrenden GET-Anfragen der Schadsoftware und lieferte nur an ausgewählte Opfer gezielt Nutzlasten aus.

In einer zweiten Kampagne im April 2026 kam eine gefälschte Cisco-Webex-Seite zum Einsatz. Ein Pop-up forderte die Opfer auf, ein Skript auszuführen, um angebliche Probleme beim Kamerazugriff zu beheben. Das führte zum Download eines ZIP-Archivs mit einer verschlüsselten JavaScript-Datei („fix-camera.jse"). Deren Ausführung brachte über PowerShell einen Zwischen-Downloader („mTSTCv8.mdxm") auf das System, der Anti-Analyse-Prüfungen durchführte und die nächste Stufe nachlud. Am Ende der Kette wurde HTTPSpy ausgeführt.

Zusätzlich öffnete die Schadsoftware eine HTML-Datei („meeting.html"), die das Opfer direkt in einen echten Webex-Besprechungsraum eines tatsächlich stattfindenden Termins leitete. Laut ENKI kompromittierte der Angreifer dafür vermutlich Gerät oder Konto eines Soldaten, um an den Besprechungsplan zu gelangen, und verteilte über die gefälschte Seite Schadsoftware an die übrigen Teilnehmer.

ENKI entdeckte zudem weitere gefälschte Seiten, die per JSONP einen lokalen, von der Schadsoftware eingerichteten Server abfragen, um den Infektionsstatus zu prüfen und gegebenenfalls eine Installationsaufforderung anzuzeigen – eine Technik, die ENKI „JSONPing" nennt.

HTTPSpy wurde nicht zum ersten Mal von Kimsuky eingesetzt. Laut CrowdStrikes European Threat Landscape Report 2025 griff die Gruppe zwischen Mai 2024 und mindestens September 2024 mutmaßlich Beschäftigte eines deutschen Rüstungsherstellers über eine Phishing-Kampagne mit dieser Schadsoftware an. Der erste Einsatz von HTTPSpy reicht bis 2022 zurück.

Parallel beschrieb Kaspersky den Einsatz von Visual-Studio-Code-Tunneln, Cloudflare Quick Tunnels, DWAgent, Sprachmodellen und Rust. Die Angriffsketten stützen sich demnach auf Dropper in den Formaten JSE, PIF, SCR und EXE, die zwei Schadsoftware-Familien ausliefern: PebbleDash und AppleSeed. PebbleDash-Angriffe wurden auch gegen Verteidigungsorganisationen in Brasilien und Deutschland verzeichnet, während der AppleSeed-Cluster vorwiegend Regierungsstellen ins Visier nahm.

Laut Kaspersky-Forscher Sojun Ryu besitzt die Gruppe weiterhin Zugriff auf den Originalquellcode der Schadsoftware-Cluster und kann ihn verändern. Der AppleSeed-Cluster verlagere seinen Schwerpunkt auf Datenabfluss, wobei die Extraktion von GPKI-Zertifikaten zu einer charakteristischen Fähigkeit geworden sei. Der PebbleDash-Cluster zeige fortgeschrittene Fernsteuerungsfunktionen und ein wachsendes Spektrum an Zielen.