كشفت تقارير أمنية حديثة أن مجموعة القرصنة الكورية الشمالية المعروفة باسم كيمسوكَي (Kimsuky)، والتي تُعرف أيضًا بـ Velvet Chollima، شنت سلسلة من الهجمات السيبرانية خلال شهري مارس وأبريل 2026 ضد كيانات عسكرية وشركات كبرى في كوريا الجنوبية.
اعتمدت المجموعة على هندسة اجتماعية متقدمة، من بينها صفحات مزيفة لتثبيت برامج أمنية، وأخرى تحاكي منصات الاجتماعات مثل Cisco Webex، بهدف خداع المستخدمين ودفعهم إلى تنزيل برمجيات خبيثة.
آليات الهجوم وتوزيع برمجية HTTPSpy
الهجمات الأخيرة تضمنت صفحات مزيفة تعرض أدوات أمنية مثل جدار ناري وبرنامج حماية لوحة المفاتيح، لكنها في الواقع تُحمّل ملفات تنفيذية خبيثة مثل nos-setup.exe وastx-setup.exe، والتي تتظاهر بأنها من منتجات أمنية شهيرة مثل nProtect Online Security وAhnLab Safe Transaction.
هذه الملفات تُطلق حمولة ثانية عبر مكتبة DLL باسم MemLoader.dll، ثم تُنشئ مهام مجدولة لضمان الاستمرارية، وتتواصل مع خوادم تحكم وسيطرة (C2) للحصول على أوامر إضافية.
البرمجية الأساسية التي يتم نشرها هي HTTPSpy، وهو حصان طروادة للوصول عن بُعد (RAT) يتمتع بقدرات واسعة تشمل تنفيذ أوامر، تحميل وتنزيل الملفات، التقاط صور الشاشة، وحقن مكتبات DLL في العمليات النشطة.
حملات موازية وتقنيات متقدمة
في أبريل 2026، استخدمت المجموعة صفحة مزيفة لـ Webex تعرض رسالة منبثقة تطلب من المستخدم تنزيل ملف لإصلاح مشكلة الكاميرا. هذا الملف كان عبارة عن أرشيف مضغوط يحتوي على JavaScript مشفر (JSE)، والذي بدوره يُطلق مُنزِّل وسيط عبر PowerShell، ليجري فحوصات مضادة للتحليل ثم يتصل بخادم C2 لجلب برمجيات إضافية مثل engine.dat أو spyInster.dll.
كما ابتكرت المجموعة تقنية جديدة أُطلق عليها اسم JSONPing، للتحقق من نجاح العدوى بشكل لحظي عبر استعلامات محلية، ما يعكس مستوى عالٍ من التطوير والابتكار في أساليب الهجوم.
توسع الترسانة: HelloDoor وHttpMalice وAppleSeed
إلى جانب HTTPSpy، أظهرت تقارير من Kaspersky أن كيمسوكَي وسّعت ترسانتها عبر برمجيات جديدة:
- HelloDoor: نسخة مطوّرة بلغة Rust من عائلة PebbleDash، ظهرت في أغسطس 2025، وتتميز بقدرات تنفيذ أوامر بسيطة مع إمكانية التوقف المؤقت.
- HttpMalice: نسخة حديثة من PebbleDash ظهرت في ديسمبر 2025، قادرة على جمع معلومات النظام، إنشاء استمرارية، التقاط صور الشاشة، وتنفيذ أوامر عبر أوامر ويندوز الأصلية.
- HttpTroy: باب خلفي يُمكّن من رفع وتنزيل الملفات، تشغيل أوامر، إنشاء قنوات اتصال عكسية، وإزالة آثار التنفيذ.
- AppleSeed: يأتي في نسختين؛ Dropper لتنزيل برمجيات إضافية، وSpy لجمع بيانات حساسة مثل المستندات وضربات لوحة المفاتيح.
- HappyDoor: نسخة متقدمة من AppleSeed ظهرت لأول مرة عام 2021.
الأخطر أن المجموعة بدأت تستغل ميزة شرعية في Visual Studio Code Remote Tunneling لتأسيس وصول خفي إلى الأجهزة المستهدفة، ما يُغنيها عن قنوات التحكم التقليدية ويُصعّب عملية الاكتشاف.
دلالات أمنية واستراتيجية
تُظهر هذه الحملات أن كيمسوكَي لا تكتفي بتوزيع برمجيات خبيثة تقليدية، بل تطوّر باستمرار أدواتها عبر لغات حديثة مثل Rust، وتستعين بخدمات شرعية مثل VS Code Tunnels وCloudflare Quick Tunnels لتجاوز أنظمة الرصد.
كما أن استهدافها لقطاعات متعددة تشمل الدفاع، الحكومة، الطاقة، والقطاع الطبي، يعكس استراتيجية واسعة تهدف إلى جمع معلومات استخباراتية حساسة، مع تركيز خاص على استخراج شهادات GPKI في كوريا الجنوبية، وهو ما يُعد مؤشرًا على أهداف طويلة المدى مرتبطة بالأمن القومي.
