Thought Leadership
Die nordkoreanische Hackergruppe Kimsuky umgeht Netzwerkkontrollen im Frühjahr 2026, indem sie Fernzugriffstunnel über Microsoft Visual Studio Code etabliert.
Im Frühjahr 2026 registrieren Bedrohungsanalysten eine intensivierte Aktivität der staatlich gelenkten nordkoreanischen Hacking-Gruppe Kimsuky, die in der Fachwelt auch unter dem Namen Velvet Chollima bekannt ist. Ein aktueller Untersuchungsbericht des Sicherheitsunternehmens ENKI dokumentiert eine Reihe gezielter Cyberangriffe im März und April 2026, die primär auf militärische Einrichtungen und private Unternehmen in Südkorea abzielten. Die Angreifer nutzten dabei hochgradig personalisierte Methoden des Social Engineerings. Eine primäre Taktik bestand im Nachbilden von Installationsseiten legitimer Sicherheitssoftware sowie von gefälschten Cisco-Webex-Konferenzräumen.
Im März 2026 konzentrierte sich eine Kampagne gezielt auf Administratoren von geschäftlichen Messaging-Diensten im B2B-Bereich. Hierbei fälschten die Angreifer die Download-Plattform eines weitverbreiteten südkoreanischen Nachrichtendienstes. Auf der präparierten Webseite wurden den Opfern vermeintliche Sicherheitswerkzeuge wie eine Firewall und ein Programm zum Schutz der Tastatureingabe angeboten. Sobald ein Benutzer den Download startete, wurden die ausführbaren Dateien nos-setup.exe oder astx-setup.exe auf das System geladen.
Diese tarnten sich als die bekannten Sicherheitslösungen nProtect Online Security und AhnLab Safe Transaction. Trotz der unterschiedlichen Namensgebung wiesen beide Dateien ein identisches Schadverhalten auf. Nach der Ausführung luden sie die Schadbibliothek MemLoader.dll über das legitime Windows-Werkzeug regsvr32.exe nach und löschten sich anschließend selbst von der Festplatte, um digitale Spuren zu verwischen. Die Dynamic Link Library etabliert daraufhin über geplante Aufgaben eine dauerhafte Persistenz und kontaktiert einen Befehlsserver, um selektiv weitere Schadlasten herunterzuladen.
Täuschung über gefälschte Webex-Sitzungen und JSONPing
Im April 2026 erweiterten die Akteure ihr Repertoire um eine Kampagne, die gefälschte Cisco-Webex-Konferenzseiten als Köder nutzte. Beim Aufrufen der präparierten Internetadresse erschien eine gefälschte Benutzeroberfläche mit einem Pop-up-Fenster. Darin wurde das Opfer aufgefordert, ein Skript zur Behebung von Kameraproblemen herunterzuladen, um dem Meeting beitreten zu können. Folgte der Anwender dieser Anweisung, wurde ein kompromittiertes ALZip-Archiv heruntergeladen, das ein verschlüsseltes JavaScript mit der Bezeichnung fix-camera.jse enthielt. Nach der Ausführung startete das Skript über die Windows PowerShell einen Loader namens mTSTCv8.mdxm. Dieses Programm führt automatisierte Analyseschutz-Prüfungen durch, indem es die Systemregistrierung nach Zeichenfolgen von Virtualisierungsumgebungen wie VMware oder VirtualBox durchsucht und laufende Prozesse mit einer Liste von Sicherheitswerkzeugen abgleicht.
Konnte keine Analyseumgebung detektiert werden, kontaktiert der Loader den Befehlsserver, um die eigentliche Hauptschadlast zu beziehen. Um den Infiltrationserfolg in Echtzeit zu verifizieren, setzte Kimsuky eine fortgeschrittene Technik namens JSONPing ein. Dabei fragt die bekannte Webseite über JSONP, also JSON with Padding, einen lokalen Server ab, den die Schadsoftware zuvor auf dem System des Opfers eingerichtet hat. Läuft das Schadprogramm nicht, wird dem Nutzer automatisch eine erneute Installationsaufforderung angezeigt. Parallel dazu öffnet die Schadsoftware eine legitime Webex-Sitzung, die auf einem echten, gestohlenen Terminplan eines Teilnehmers basiert. Auf diese Weise merken die übrigen Konferenzteilnehmer nicht, dass ihr System im Hintergrund infiziert wurde.
Funktionsumfang des Remote-Access-Trojaners HTTPSpy
Die finale Schadlast der beschriebenen Angriffe ist eine hochentwickelte Variante des bekannten Remote-Access-Trojaners HTTPSpy. Dieses Schadprogramm verfügt über ein umfassendes Spektrum an Spionagefunktionen. Der Trojaner ermöglicht es den Angreifern, beliebige Shell-Befehle auf dem kompromittierten System auszuführen, Dateien hoch- und herunterzuladen, neue Prozesse zu starten sowie kontinuierlich Bildschirminhalte zu erfassen. Zudem besitzt HTTPSpy die Fähigkeit, schadhafte DLL-Pfade direkt in laufende Prozesse mittels ihrer Prozess-ID zu injizieren und sich im Falle einer drohenden Entdeckung selbstständig vom Endpunkt zu löschen.
Die Historie des Trojaners reicht bis in das Jahr 2022 zurück. Bereits im Jahr 2025 dokumentierte das Sicherheitsunternehmen CrowdStrike in seinem europäischen Bedrohungsreport den Einsatz von HTTPSpy durch Kimsuky. Zwischen Mai und September 2024 zielte eine Phishing-Kampagne mit diesem Werkzeug auf Mitarbeiter eines deutschen Rüstungsunternehmens ab, was die globale Reichweite der nordkoreanischen Spionageaktivitäten verdeutlicht.
Die Evolution der Schadsoftware-Cluster HelloDoor und HttpMalice
Ergänzend zu den Analysen von ENKI veröffentlichte das Sicherheitsunternehmen Kaspersky detaillierte Erkenntnisse über die technologische Weiterentwicklung des Kimsuky-Arsenals. Die Gruppe nutzt vermehrt moderne Programmiersprachen und Methoden, um die Erkennungsraten durch IT-Sicherheitssysteme zu minimieren. Ein zentrales Element ist die Schadsoftware HelloDoor, eine im August 2025 erstmals identifizierte Variante des bekannten PebbleDash-Malware-Clusters. HelloDoor wurde in der Programmiersprache Rust verfasst, die von nordkoreanischen Akteuren historisch selten genutzt wurde, und wurde vermutlich unter Zuhilfenahme großer Sprachmodelle generiert. Das Programm unterstützt grundlegende Backdoor-Funktionen wie das Ändern des aktuellen Verzeichnisses und das Ausführen nativer Systembefehle.
Eine weitere Neuentwicklung ist die Backdoor HttpMalice, die im Dezember 2025 auftauchte und umfassende Aufklärungsfunktionen besitzt, um Systeminformationen zu sammeln und Screenshots zu exfiltrieren. Parallel dazu wird das AppleSeed-Cluster weiterentwickelt, das sich in eine Dropper- und eine Spy-Variante aufteilt und gezielt auf das Ausspähen von sensiblen Dokumenten, Tastaturanschlägen sowie digitalen Zertifikaten aus dem südkoreanischen Regierungsnetzwerk spezialisiert hat.
Missbrauch legitimer Werkzeuge wie Visual Studio Code Remote Tunneling
Eine besonders kritische taktische Verschiebung betrifft den Verzicht auf klassische, schadsoftwarebasierte Kommunikationskanäle zum Befehlsserver. Kimsuky missbraucht zunehmend legitime Fernzugriffsdienste, um eine dauerhafte Verbindung zu den kompromittierten Systemen aufzubauen. Hierbei kommt primär die offizielle Remote-Tunneling-Funktion von Microsoft Visual Studio Code sowie die Tunneling-Infrastruktur Cloudflare Quick Tunnels und das Open-Source-Verwaltungswerkzeug DWAgent zum Einsatz.
Bei der Methode mit Visual Studio Code laden die Angreifer die offizielle, digital von Microsoft signierte ausführbare Datei code.exe in ein verstecktes Verzeichnis des Opfers und starten einen verschlüsselten Tunnel zu den Microsoft-Azure-Servern unter Verwendung einer GitHub-Authentifizierung. Da dieser Datenverkehr über vertrauenswürdige Cloud-Infrastrukturen abgewickelt wird und die genutzten Programme legitim sind, schlagen traditionelle Netzwerküberwachungen und Firewalls keinen Alarm. Die Angreifer erhalten dadurch einen interaktiven Zugriff auf das Dateisystem und die Kommandozeile des infizierten Rechners, ohne neue Schadsoftware-Signaturen zu hinterlassen.
Implikationen für die IT-Governance und das IT-Risikomanagement
Die technologische Evolution staatlich gelenkter Hacking-Gruppen wie Kimsuky stellt das IT-Sicherheitsmanagement und die übergeordnete IT-Governance in Unternehmen vor grundlegend neue Herausforderungen. Wenn Angreifer in der Lage sind, legitime Administrationswerkzeuge wie Visual Studio Code für den unbemerkten Datenabzug zu instrumentalisieren, versagen klassische, signaturbasierte Schutzkonzepte. Das strategische IT-Risikomanagement muss die Bedrohung durch sogenannte Living-off-the-Land-Angriffe, bei denen bordeigene Systemwerkzeuge missbraucht werden, proaktiv adressieren.
Im Rahmen der Corporate-Compliance müssen strenge Richtlinien etabliert werden, welche die Ausführung von Tunneling-Diensten auf Endgeräten blockieren und den Zugriff auf sensible Verzeichnisse wie Zertifikatsordner restriktiv regulieren. Die IT-Abteilungen müssen moderne Zero-Trust-Architekturen in die Unternehmensinfrastruktur integrieren, um Verhaltensanomalien von legitimen Anwendungen in Echtzeit zu erkennen und potenzielle laterale Bewegungen im Firmennetzwerk im Jahr 2026 effektiv zu unterbinden, bevor kritische Kernsysteme kompromittiert werden.
