Kimsuky pretvara Webex i Visual Studio Code tunele u zamku za Južnu Koreju
Operativni trag Kimsuky kampanje kroz lažne sastanke i legitimne alate.📷 AI-generated image / TECH&SPACE
- ★Kimsuky je povezan s napadima na južnokorejske vojne i korporativne mete tijekom ožujka i travnja 2026.
- ★Mamci uključuju lažne stranice za instalaciju sigurnosnog softvera i krivotvorenu Webex stranicu za sastanak.
- ★U kampanji se spominju HTTPSpy, HelloDoor i VS Code tuneli kao dijelovi proširenog operativnog arsenala.
The Hacker News izvještava da je sjevernokorejska državno sponzorirana skupina Kimsuky, poznata i kao Velvet Chollima, povezana s novim nizom cyber napada na južnokorejske vojne i korporativne subjekte tijekom ožujka i travnja 2026. To je dovoljno uska vremenska i ciljna slika da se kampanja ne čita kao generički phishing val, nego kao operacija usmjerena prema organizacijama u osjetljivom sigurnosnom i gospodarskom okruženju Južne Koreje.
Najvažniji detalj nije samo popis alata, nego način ulaska. Prema dostupnom opisu, Kimsuky je koristio prilagođene taktike socijalnog inženjeringa: lažne stranice za instalaciju sigurnosnog softvera i krivotvorenu stranicu za Webex sastanak. Takav mamac cilja rutinu zaposlenika, a ne samo tehničku rupu. Ako korisnik očekuje sigurnosnu instalaciju ili poziv na sastanak, napadač dobiva početnu prednost bez potrebe za spektakularnim exploitom.
U arsenalu se spominju HTTPSpy, HelloDoor i Visual Studio Code Tunnels. Posebno je važna ova treća komponenta jer tuneliranje kroz legitimne razvojne alate može zamagliti granicu između normalnog administriranja i prikrivenog pristupa. U obrani to mijenja ton istrage: nije dovoljno tražiti samo nepoznate binarne datoteke, nego treba razumjeti zašto se poznati alati pojavljuju u pogrešnom kontekstu, s pogrešnog računala ili prema pogrešnom odredištu.
Sjevernokorejska skupina Velvet Chollima ciljala je južnokorejske vojne i korporativne mete lažnim instalacijskim stranicama i krivotvorenim Webex sastankom.
Forenzički detalj mamca koji spaja lažni Webex i neočekivani tunel.📷 AI-generated image / TECH&SPACE
Kimsuky je već godinama u sigurnosnim bazama opisan kao akter povezan sa sjevernokorejskim interesima; primjerice MITRE ATT&CK vodi skupinu pod oznakom G0094. No ova kampanja pokazuje ono što je za obranu često neugodnije od same atribucije: napadač ne mora stalno izmišljati novu tehniku ako može spojiti uvjerljiv mamac, legitimni servis i alat koji organizacija ne zna pouzdano razlikovati od normalnog rada.
Za južnokorejske vojne i korporativne mete to znači da se incident response mora pomaknuti izvan klasične liste kompromitiranih datoteka. Pregled treba obuhvatiti neobične instalacijske tokove sigurnosnog softvera, pristupe koji se predstavljaju kao sastanci, neočekivane VS Code tunelske sesije i telemetriju web prometa oko HTTPSpy aktivnosti. U praksi, najkorisniji signal može biti kombinacija malih odstupanja: korisnik je posjetio stranicu koja oponaša sigurnosni alat, zatim je otvoren kanal koji izgleda legitimno, a potom se pojavljuje ponašanje koje nema poslovno opravdanje.
Ovdje nema potrebe za mistifikacijom. Kampanja je važna jer pokazuje disciplinirano korištenje povjerenja, ne zato što uvodi čarobnu novu klasu napada. Organizacije koje već koriste kolaboracijske platforme, udaljene razvojne alate i stroge sigurnosne instalacije moraju ih promatrati kao dio napadne površine. Kimsuky u ovom slučaju iskorištava upravo taj paradoks: što je alat legitimniji, to ga je teže odbaciti kao očitu anomaliju.
