Kelompok peretas yang disponsori negara Korea Utara, Kimsuky, kembali menjadi sorotan setelah melancarkan serangkaian serangan siber baru. Mereka dilaporkan menggunakan malware canggih bernama HTTPSpy dan memperluas arsenalnya dengan taktik yang semakin cerdik, menargetkan entitas militer dan korporat di Korea Selatan.
Baca Juga: MediaTek Dimensity 8550: Chipset Baru dengan Penguat AI dan Gemini Nano V3
Dilansir dari The Hacker News, serangan ini terjadi sepanjang Maret dan April 2026, menunjukkan adaptasi berkelanjutan Kimsuky dalam upaya spionase dan pencurian data.
Dalam kampanye terbarunya, Kimsuky menggunakan berbagai taktik rekayasa sosial yang disesuaikan untuk mengelabui korban. Salah satu metode yang diidentifikasi adalah penyamaran halaman instalasi perangkat lunak keamanan palsu.
Baca Juga: Ultrahuman Photon: Perangkat Terapi Cahaya Merah Portabel Kini Tersedia Pre-order
Menurut analisis dari ENKI, Kimsuky meniru halaman instalasi perangkat lunak keamanan dari layanan pesan B2B Korea Selatan, menawarkan program firewall dan keamanan keyboard palsu. Ketika pengguna mengunduh, mereka justru mendapatkan executable berbahaya yang menyamar sebagai nProtect Online Security atau AhnLab Safe Transaction.
ENKI juga mencatat bahwa Kimsuky membuat halaman rapat Webex palsu yang memanfaatkan jadwal rapat resmi. Halaman ini akan menampilkan pop-up yang meminta korban mengunduh skrip untuk ‘memperbaiki masalah akses kamera’.
Namun, skrip tersebut justru mengunduh arsip ZIP berisi file JavaScript terenkripsi yang kemudian menyebarkan malware.
“Taktik ini menunjukkan bahwa penyerang kemungkinan telah mengkompromikan perangkat atau akun anggota layanan untuk mendapatkan jadwal rapat, kemudian membuat halaman palsu untuk mendistribusikan malware kepada peserta lain,” jelas ENKI. “Mereka bahkan melangkah lebih jauh dengan memperkenalkan mekanisme canggih untuk memverifikasi infeksi secara real-time melalui teknik yang disebut JSONPing.”
Inti dari serangan ini adalah penyebaran HTTPSpy, sebuah Remote Access Trojan (RAT) yang telah digunakan Kimsuky sejak tahun 2022. Malware ini memiliki kemampuan luas, mulai dari menjalankan perintah shell, mengunggah dan mengunduh file, mengeksekusi proses, hingga mengambil tangkapan layar dan menghapus jejaknya sendiri dari sistem yang terinfeksi.
Selain HTTPSpy, Kimsuky juga memperluas koleksi malware-nya dengan varian baru. Kaspersky merinci penggunaan HelloDoor, varian PebbleDash berbasis Rust yang kemungkinan dikembangkan menggunakan model bahasa besar (LLM).
HelloDoor memiliki fungsionalitas dasar untuk menjalankan perintah. Ada juga HttpMalice, varian PebbleDash terbaru yang muncul pada Desember 2025, dengan kemampuan mengumpulkan informasi sistem, membangun persistensi, melakukan pengintaian, mengambil tangkapan layar, dan mengeksfiltrasi data.
Varian lain yang ditemukan termasuk HttpTroy, sebuah backdoor yang memungkinkan pengunggahan/pengunduhan file, eksekusi perintah, dan reverse shell. Kelompok AppleSeed juga terus berkembang, dengan varian Dropper yang mengunduh malware tambahan dan varian Spy yang mengumpulkan dokumen sensitif, tangkapan layar, keystroke, dan data dari drive USB, termasuk sertifikat GPKI.
Salah satu perubahan taktis paling signifikan yang diungkap oleh Kaspersky adalah penyalahgunaan fitur Remote Tunneling Microsoft Visual Studio Code (VS Code) yang sah. Kimsuky memanfaatkan fitur ini untuk membangun akses jarak jauh yang terselubung ke perangkat korban, menghilangkan kebutuhan akan saluran C2 berbasis malware tradisional.
Pendekatan ini juga telah disorot oleh perusahaan keamanan siber lain seperti Darktrace dan Logpresso.
“Secara spesifik, Kimsuky memanfaatkan mekanisme tunneling VS Code yang sah untuk membangun persistensi dan mendistribusikan alat pemantauan dan manajemen jarak jauh (RMM) sumber terbuka DWAgent untuk aktivitas pasca-eksploitasi,” kata Kaspersky. Penggunaan bahasa pemrograman Rust dan LLM dalam pengembangan malware menunjukkan upaya berkelanjutan Kimsuky untuk beradaptasi dan berevolusi dalam taktik serangannya.
“Analisis kami menunjukkan bahwa aktor tersebut mempertahankan akses ke kode sumber asli kluster malware dan kemampuan untuk memodifikasinya,” ujar peneliti Kaspersky, Sojun Ryu. “Kluster AppleSeed mengalihkan fokusnya ke eksfiltrasi data, dan ekstraksi sertifikat GPKI telah menjadi kemampuan khas. Sementara itu, kluster PebbleDash menunjukkan kemampuan kendali jarak jauh yang canggih dan target yang semakin luas.”
Baca Juga: Sony Rilis DualSense PS5 Edisi Terbatas 007 GoldenEye dengan Sentuhan Emas
Kimsuky terus menunjukkan kemampuannya untuk beradaptasi dan mengembangkan taktik serangan yang lebih canggih. Dengan memanfaatkan rekayasa sosial yang cerdik dan alat-alat baru, termasuk fitur-fitur sah, kelompok ini menjadi ancaman serius bagi keamanan siber, terutama bagi entitas yang menjadi target utama mereka di Korea Selatan.
Leave a Comment