摘要
Kimsuky(亦称 APT43、Ruby Sleet 等)是活跃逾十年的朝鲜语系高级持续性威胁(APT)组织,长期针对韩国及全球多国政府、国防、医疗等关键领域实施定向攻击。本文基于卡巴斯基 GReAT 团队 2026 年 5 月公开的最新攻击活动报告,对 Kimsuky 近期依托 PebbleDash 与 AppleSeed 两大恶意软件集群开展的攻击行动进行全链路拆解,系统分析其初始入侵、恶意代码部署、权限维持、横向渗透与数据窃取等关键环节的技术实现,重点剖析 HelloDoor、httpMalice、MemLoad、httpTroy、AppleSeed、HappyDoor 等新型变种的核心功能、加密机制、通信协议与抗检测特性,同时揭示该组织滥用 VSCode 远程隧道、DWAgent、Cloudflare 隧道等合法服务实现隐蔽控制的新型战术。研究表明,Kimsuky 正持续迭代 PebbleDash 平台工具链,引入 Rust 开发、大语言模型辅助编码、合法远程工具劫持等新技术,攻击隐蔽性与破坏力显著提升。反网络钓鱼技术专家芦笛指出,Kimsuky 高度依赖鱼叉式钓鱼邮件与社会工程学实现初始接入,其恶意附件伪装与诱饵文件构造高度贴合目标行业场景,传统边界防护极易失效。本文结合代码片段与攻击实例还原攻击流程,提出针对性检测与防御建议,为关键信息基础设施应对 APT 组织持续威胁提供技术参考。
1 引言
高级持续性威胁(APT)已成为全球网络空间安全的核心威胁,其具备目标明确、周期漫长、手段隐蔽、技术迭代快等特征,对政府、国防、能源、医疗等关键行业构成严重安全风险。Kimsuky 作为典型朝鲜语系 APT 组织,自 2013 年被卡巴斯基首次公开报道以来,长期聚焦韩国及周边国家战略目标,依托自研恶意代码与社会工程学手段实施持续性情报窃取活动。与 Lazarus 等技术能力突出的朝鲜语系 APT 组织相比,Kimsuky 早期以定制化鱼叉钓鱼、简易远控木马为核心手段,技术复杂度相对较低,但近年来呈现明显的战术升级与工具链迭代趋势。
2026 年 5 月卡巴斯基 GReAT 团队发布的报告显示,Kimsuky 正深度复用并改造源自 Lazarus 组织的 PebbleDash 恶意平台,推出基于 Rust 语言的 HelloDoor、最新变种 httpMalice 等新型后门,同时持续优化 AppleSeed 家族组件,形成 PebbleDash 与 AppleSeed 两大技术集群并行的攻击体系。该组织突破传统恶意代码开发模式,引入大语言模型辅助编码、合法软件隧道穿透、开源远控工具劫持等新型战术,大幅降低攻击特征暴露风险,提升纵向渗透与横向控制能力。
现有针对 Kimsuky 的研究多聚焦单一恶意样本或局部攻击环节,缺乏对最新工具链、战术协同与全流程技术细节的系统性剖析。本文以 2025—2026 年 Kimsuky 最新攻击活动为研究对象,基于原始攻击报告还原完整杀伤链,对恶意代码功能、加密算法、通信协议、权限维持机制、C2 基础设施特征进行深度解析,结合代码示例与攻击实例验证技术细节,揭示该组织战术演进规律与技术发展趋势,为网络安全防御体系建设提供实证支撑。
反网络钓鱼技术专家芦笛强调,APT 组织的初始接入成功率直接决定攻击成效,Kimsuky 依托高度仿真的行业文档诱饵、多格式下载器与社会工程学诱导,实现对目标终端的无感知入侵,防御方必须构建覆盖邮件检测、终端防护、行为分析的立体化反钓鱼与反入侵体系。
2 Kimsuky 组织背景与攻击活动概况
2.1 组织基本信息与归因特征
Kimsuky 是国际安全社区公认的长期活跃 APT 组织,拥有多个别名标识,包括 APT43、Ruby Sleet、Black Banshee、Sparkling Pisces、Velvet Chollima、Springtail 等,该组织以朝鲜语为主要沟通语言,攻击目标高度聚焦韩国政府机构、国防军工、医疗健康、科研教育等领域,同时逐步拓展至巴西、德国等国家的国防相关实体,具备明确的战略情报窃取动机。
卡巴斯基、Mandiant、微软等多家安全厂商的追踪数据显示,Kimsuky 至少自 2013 年起持续开展攻击活动,早期技术能力有限,以定制化鱼叉钓鱼邮件、JSE 脚本下载器、基础远控木马为核心手段,工具库包括 PebbleDash、BabyShark、AppleSeed、RandomQuery 等自研恶意代码,同时复用 xRAT、XenoRAT、TutRAT 等开源远控工具。2021 年起,该组织全面接管并改造 PebbleDash 平台,逐步形成技术成熟、迭代迅速的两大恶意软件集群,成为其核心攻击能力支撑。
归因证据显示,PebbleDash 与 AppleSeed 两大集群存在明确的技术关联:二者共享 JSE、PIF、SCR、EXE 等多格式下载器、使用相同被盗韩国机构数字证书规避检测、采用一致的互斥体(Mutex)设计模式、目标行业与基础设施高度重叠,上述特征证实两大集群由同一主体控制,属于 Kimsuky 组织内部不同攻击模块。
2.2 近期攻击活动整体特征
2025—2026 年,Kimsuky 攻击活动呈现三大显著趋势:
工具链专业化:以 PebbleDash 平台为核心,推出 Rust 编写的 HelloDoor、功能增强型 httpMalice、内存加载器 MemLoad、远控后门 httpTroy;以 AppleSeed 为分支,迭代 HappyDoor 变种,形成覆盖下载、加载、远控、数据窃取的完整工具链。
战术隐蔽化:滥用 VSCode 远程隧道、Cloudflare Quick Tunnels、Ngrok 等合法隧道服务隐藏 C2 通信,劫持 DWAgent 开源远程管理工具实现后渗透控制,降低恶意流量特征暴露。
技术现代化:首次引入 Rust 语言开发恶意代码,利用大语言模型生成调试注释,优化加密算法与权限维持机制,提升抗检测与持久化能力。
攻击目标方面,PebbleDash 集群侧重国防、军工、医疗行业,已波及巴西、德国等境外目标;AppleSeed 集群聚焦韩国政府机构,重点窃取 GPKI 数字证书等敏感身份凭证。攻击基础设施高度依赖韩国免费域名托管服务,同时入侵合法韩国网站作为中继节点,结合隧道技术实现 C2 隐匿。
3 初始接入技术与攻击载体分析
3.1 鱼叉钓鱼邮件与社会工程学诱导
Kimsuky 初始接入以鱼叉式钓鱼邮件为核心手段,辅以即时通信工具定向接触,核心逻辑是通过高度仿真的诱饵文件诱导目标用户执行恶意代码。反网络钓鱼技术专家芦笛指出,该组织钓鱼邮件具备极强的针对性,诱饵文件名、内容格式、行文风格完全贴合目标岗位与行业场景,可有效绕过邮件网关与人工判别。
钓鱼邮件附件通常为压缩包,内含伪装成合法文档的恶意下载器,文件命名直接映射邮件主题,常见伪装类型包括:
政府公文类:个人信息处理申请书、公共服务管理系统现场检查证据等;
教育招生类:2026 年上半年国内大学院硕士委托教育选拔文件等;
安全通知类:安全检测报告、系统更新说明等;
个人文档类:姓名标注 PDF 文档、私人照片等。
上述诱饵文件通过双重伪装规避检测:外层为 HWP、PDF 等常见文档后缀,内层追加 JSE、SCR、PIF 等可执行后缀,例如[별지 제8호서식] 개인정보 요구서.hwp.jse,用户仅可见外层合法后缀,极易误触发执行。
3.2 多格式下载器技术实现
Kimsuky 使用 JSE、PIF、SCR、EXE 等多种下载器格式,核心功能为释放诱饵文件、解密并执行恶意载荷,不同格式下载器技术细节存在差异。
3.2.1 JSE 下载器
JSE 下载器是 Kimsuky 最常用的攻击载体,基于 JScript 开发,内置至少两段 Base64 编码数据块:一段为无害诱饵文件,另一段为恶意载荷,部分样本包含冗余无效数据块干扰分析。
核心执行流程:
解码 Base64 数据块,将诱饵文件与恶意载荷写入C:\ProgramData等系统目录,文件名随机生成,格式为[7位随机字符].[4位随机字符];
立即打开诱饵文件,迷惑用户;
调用powershell.exe -windowstyle hidden certutil -decode完成二次 Base64 解码;
通过regsvr32.exe /s或rundll32.exe执行恶意载荷。
典型代码片段示例:
// Base64解码诱饵文件与恶意载荷
var lureData = Base64Decode(lureBlob);
var malwareData = Base64Decode(malwareBlob);
// 写入系统目录
var fso = new ActiveXObject("Scripting.FileSystemObject");
var randName = GetRandomName(7)+"."+GetRandomName(4);
var malwarePath = "C:\\ProgramData\\" + randName;
// 执行二次解码与加载
var cmd = "powershell -windowstyle hidden certutil -decode \""+malwarePath+"\" \""+malwarePath+".dat\"";
ExecCmd(cmd);
ExecCmd("regsvr32 /s \""+malwarePath+".dat\"");
3.2.2 Reger Dropper(SCR 格式)
SCR 格式的 Reger 下载器采用XOR 加密保护内部数据,内置固定密钥#RsfsetraW#@EsfesgsgAJOPj4eml;,同时包含诱饵文件与恶意载荷。执行后释放文件至%temp%或C:\ProgramData,通过regsvr32.exe加载运行。
3.2.3 Pidoc Dropper(PIF 格式)
PIF 格式的 Pidoc 下载器使用单字节 0xFF 异或加密,代码全程插入垃圾数据与加密字符串混淆,释放流程与 Reger 下载器一致,主要用于投递 HappyDoor 等 AppleSeed 家族组件。
3.3 初始接入防御要点
反网络钓鱼技术专家芦笛强调,针对 Kimsuky 初始接入的防御应聚焦三点:一是邮件网关深度解析附件结构,识别双重后缀伪装;二是终端限制 JSE、PIF、SCR 等敏感格式脚本的自动执行权限;三是开展员工钓鱼意识培训,提升对政府公文、招生通知类高仿真诱饵的识别能力。
4 核心恶意代码技术深度分析
Kimsuky 当前恶意代码分为PebbleDash与AppleSeed两大集群,前者为远程控制主力,后者侧重数据窃取,二者均具备持久化、C2 通信、指令执行、权限维持等核心能力。
4.1 PebbleDash 集群恶意代码
4.1.1 HelloDoor:首个 Rust 编写的 PebbleDash 变种
HelloDoor 是 Kimsuky 首个基于Rust 语言开发的 DLL 后门,2025 年 8 月首次发现,功能相对简洁,处于早期开发阶段,但标志着该组织开始采用内存安全型语言提升抗逆向与抗检测能力。
核心技术特征:
持久化机制:写入注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run,键名tdll,执行命令regsvr32.exe /s [当前路径]。
C2 通信:基于 Cloudflare TryCloudflare 临时隧道,域名female-disorder-beta-metropolitan.trycloudflare.com,HTTP 协议通信,隧道无需账号注册,基础设施难以溯源。
端口绑定:高权限进程绑定 5555 端口,普通权限绑定 5554 端口。
唯一标识:采集 MAC 地址、计算机名、系统版本生成哈希,作为设备唯一标识。
加密协议:指令采用 RC4 加密,密钥fwr3errsettwererfs,通信参数格式固定为aaaaaaaaaa=2&bbbbbbbbbb=[UID]&cccccccccc=1。
指令集:支持目录切换、延时、安装持久化、命令执行等基础功能。
关键代码逻辑示例(Rust 伪代码):
// 生成设备唯一标识
let uid = hash(mac_addr + computer_name + "windows");
// RC4解密指令
let rc4_key = b"fwr3errsettwererfs";
let cmd = rc4_decrypt(base64_decode(resp_data), rc4_key);
// 执行系统命令
match cmd {
"mcd" => set_current_dir(param),
"msleep" => sleep(param.parse().unwrap()),
"install" => add_registry_run(),
_ => exec_cmd(cmd),
}
特殊特征:代码注释包含 Emoji 表情,语法存在拼写错误(如decrytion、autorum),证实由大语言模型辅助生成,为 APT 组织首次公开使用 LLM 辅助恶意开发的典型案例。
4.1.2 httpMalice:最新 PebbleDash 后门变种
httpMalice 是 2025 年 12 月出现的成熟型 PebbleDash 后门,分为 1.8(Dropbox 通信)与 1.9(HTTP/HTTPS 通信)两个版本,功能全面,是当前 Kimsuky 主力远控工具。
核心技术特征:
唯一标识(UID):由系统盘卷序列号(8 位)+ 权限状态组合而成,权限状态 0=SYSTEM 高权限、1 = 管理员权限、2 = 普通权限。
持久化:高权限创建 Windows 服务CacheDB,执行rundll32.exe [路径], load;普通权限写入注册表HKCU\Run,键名Everything 1.9a-[文件大小]。
编码特性:执行命令前调用chcp 949切换韩语 EUC-KR 编码,明确指向韩语用户环境。
加密算法:采用ChaCha20+Base64加密传输数据,密钥与随机数源自缓冲区指针地址,每次运行动态变化,解密难度高。
通信模式:基于m参数区分操作模式,共 13 种模式,覆盖状态上报、指令请求、数据回传、截屏、目录归档等功能。
通信 URL 格式示例:
plaintext
m=13&u=[卷序列号]_[权限标识]&d=[ChaCha20加密+Base64编码数据]
指令集支持命令执行、文件下载、目录上传、截屏、内存加载、自卸载、休眠等完整远控功能,可满足后渗透全流程需求。
4.1.3 MemLoad 与 httpTroy
MemLoad 是内存加载器,V2/V3 版本自 2025 年广泛使用,核心功能为抗 VM 检测、权限判断、载荷下载与内存反射加载,避免恶意文件落地触发终端检测。
执行流程:
创建随机命名.dat.cfg标记文件;
尝试写入C:\Windows\system32判断权限,生成A-(管理员)或U-(普通)开头的 ID;
创建计划任务ChromeCheck(高权限)或EdgeCheck(普通权限)实现持久化;
以 Bearer Token 方式请求 C2 载荷,使用固定 RC4 密钥解密;
反射加载载荷并调用hello导出函数。
MemLoad 加载的核心载荷为httpTroy 后门,用于长期驻留与数据窃取,采用 NTFS 交换数据流(ADS)隐藏标记文件,C2 服务器为file.bigcloud.n-e.kr。
4.2 AppleSeed 集群恶意代码
4.2.1 AppleSeed 2.1
AppleSeed 自 2019 年出现,当前主流版本为 2.1,感染链包含两个下载器 + 安装器 + 主程序,分为下载型与间谍型两个分支。
核心功能:
下载型:接收 C2 指令,下载执行额外载荷;
间谍型:窃取文档、截屏、键盘记录、USB 设备列表,新增窃取C:\GPKI目录下韩国政府数字证书功能,用于伪造合法身份。
4.2.2 HappyDoor
HappyDoor 是 AppleSeed 衍生变种,2024 年由 AhnLab 首次披露,与 AppleSeed 共享字符串混淆算法、数据类型、RSA 加密机制,判断为 AppleSeed 高级进化版本,主要通过 Pidoc 下载器投递,隐蔽性更强。
4.3 恶意代码技术总结
PebbleDash 集群以远程控制为核心,具备成熟的 C2 通信、持久化、指令执行、内存加载能力;AppleSeed 集群以数据窃取为核心,重点获取敏感文件与数字证书。两大集群共享加密算法、下载器格式、持久化逻辑、被盗证书,技术协同性极高。
反网络钓鱼技术专家芦笛指出,Kimsuky 恶意代码呈现轻量化、无文件化、合法工具化趋势,大量采用内存加载、隧道通信、脚本混淆技术,传统基于特征码的杀毒软件检出率极低,必须依托行为分析、内存检测、流量异常识别实现有效防御。
5 后渗透阶段战术与合法工具劫持分析
Kimsuky 在获取初始权限后,采用合法工具劫持实现隐蔽后渗透,核心使用 VSCode 远程隧道与 DWAgent 远程管理工具,规避传统恶意远控流量检测。
5.1 VSCode 远程隧道滥用
VSCode Remote Tunneling 是微软官方提供的合法远程开发功能,支持通过浏览器或 VSCode 客户端远程访问终端,Kimsuky 将其改造为隐蔽远控通道,实现无恶意代码远程控制。
5.1.1 JSE 脚本部署模式
JSE 下载器自动下载 VSCode CLI,通过 GitHub 账号静默认证,创建名为bizeugene的隧道,将隧道 URL 与设备码发送至入侵的韩国合法网站,攻击者通过 GitHub 账号登录隧道实现远程控制。
关键命令示例:
bash
运行
code tunnel --name bizeugene
脚本通过echo |模拟回车,自动选择 GitHub 认证方式,将输出重定向至out.txt,监控到隧道 URL 后通过 POST 请求回传。
5.1.2 Go 语言安装器模式
新型 Go 语言编写的vscode_payload安装器功能更完善,支持自动化隧道创建:
下载并解压 VSCode CLI 至C:\Users\Public;
模拟键盘输入选择 GitHub 认证;
自动获取设备码并完成授权;
将隧道 URL 发送至 Slack WebHook,同时发送心跳包;
攻击者通过浏览器或 VSCode 接入隧道。
该模式完全基于合法软件与服务,流量特征与正常开发行为一致,极难检测。
5.2 DWAgent 远程管理工具劫持
DWAgent 是开源远程管理工具,被大量 APT 与勒索软件组织滥用。Kimsuky 通过两种方式部署:
直接下发压缩包至已入侵终端;
使用类 Reger 下载器的专用安装器,RC4 解密释放1.zip与unrar.exe,自动安装DWService系统服务。
安装器核心命令:
cmd
c:\programdata\unrar.exe x C:\programdata\1.zip C:\programdata\
c:\programdata\dwagent\native\dwagsvc.exe installService
c:\programdata\dwagent\native\dwagsvc.exe startService
攻击者预置config.json配置文件,绑定自有账号,实现开机自启与长期隐蔽控制,流量经过 DWAgent 官方中继服务器,无法通过 IP 黑名单拦截。
5.3 后渗透战术价值
反网络钓鱼技术专家芦笛强调,合法工具劫持是 APT 组织后渗透的主流趋势,VSCode、DWAgent 等工具具备合法签名、正常业务流量、官方服务器中继等特征,可穿透防火墙、入侵检测系统(IDS)、终端检测与响应(EDR)等多层防御,实现 “隐身控制”。
6 C2 基础设施与攻击溯源特征
6.1 域名与服务器特征
Kimsuky 长期依赖韩国免费域名托管服务naedomain.hankook,注册大量.p-e.kr、.o-r.kr、.n-e.kr、.r-e.kr等次级域名,用于 PebbleDash 与 AppleSeed 集群 C2 服务器部署,服务器多指向 InterServer 旗下 VPS。
同时,该组织频繁入侵韩国合法网站搭建中继节点,用于接收 VSCode 隧道信息、中转 C2 流量,降低主服务器暴露风险。
6.2 隧道技术隐匿
PebbleDash 集群大量使用Cloudflare Quick Tunnels、VSCode Tunneling、Ngrok等临时隧道服务,无需独立服务器与域名,可快速切换接入点,基础设施追踪难度极大。
6.3 溯源关键标识
归因核心证据包括:
两大集群共享下载器格式、加密算法、互斥体、被盗证书;
目标高度聚焦韩国政府、国防领域,符合 Kimsuky 传统攻击模式;
PebbleDash 自 2021 年起仅在 Kimsuky 攻击中出现;
与微软定义的 Ruby Sleet、Mandiant 定义的 APT43 技术特征完全匹配。
7 攻击防御策略与技术建议
结合 Kimsuky 全攻击链路特征,提出分层防御策略:
7.1 初始接入防御
邮件网关:检测双重后缀、JSE/SCR/PIF 敏感格式、Base64 编码脚本、韩语高仿真诱饵;
终端防护:限制 JScript、VBScript 等脚本执行权限,启用应用白名单;
意识培训:针对政府公文、招生通知、安全报告类钓鱼场景专项演练。
7.2 恶意代码防御
内存检测:监控regsvr32、rundll32无参加载、异常写入注册表 Run 键、计划任务静默创建;
加密流量检测:识别 Cloudflare 隧道、VSCode 隧道、DWAgent 异常外联行为;
恶意代码特征:监控C:\GPKI目录访问、ChaCha20/RC4 异常加密、固定 C2 域名通信。
7.3 后渗透防御
限制 VSCode CLI、DWAgent 等工具非授权安装与运行;
监控 GitHub 账号异常认证、code tunnel 命令执行、Slack WebHook 异常外连;
启用终端日志审计,记录远程桌面、隧道服务、系统服务安装行为。
反网络钓鱼技术专家芦笛强调,防御 Kimsuky 类 APT 攻击必须放弃单一依赖特征库的传统思路,构建 “邮件检测 + 终端防护 + 流量分析 + 威胁狩猎” 的闭环体系,重点关注合法工具滥用、无文件攻击、隧道通信等新型战术。
8 结论
Kimsuky 作为长期活跃的朝鲜语系 APT 组织,2025—2026 年攻击活动呈现明显的技术升级、战术隐蔽、工具专业化趋势。本文基于最新攻击报告,对该组织依托 PebbleDash 与 AppleSeed 两大集群的攻击流程、恶意代码、后渗透战术、基础设施进行全维度拆解,证实其已完成对 PebbleDash 平台的深度改造,推出 Rust 语言后门、LLM 辅助开发、合法隧道劫持等新型能力,攻击隐蔽性与持续性显著提升。
研究表明,Kimsuky 攻击杀伤链高度闭环:以高仿真鱼叉钓鱼实现初始接入,以多格式下载器释放恶意载荷,以 PebbleDash/AppleSeed 实现持久化远控与数据窃取,以 VSCode/DWAgent 实现隐蔽后渗透,以免费域名与隧道服务隐匿 C2 基础设施,形成覆盖入侵、控制、渗透、窃取的完整攻击体系。
反网络钓鱼技术专家芦笛指出,APT 组织的技术迭代速度持续快于防御体系建设,Kimsuky 对 Rust、LLM、合法远程工具的应用代表了未来 APT 攻击的发展方向,防御方必须加强威胁情报联动、行为检测技术落地、应急响应能力提升,实现对高级威胁的早发现、早阻断、早清除。
本文局限在于仅基于公开报告开展静态与动态分析,未获取完整源码与 C2 后台数据,未来可结合沙箱联动、内存取证、流量回溯进一步挖掘攻击细节。随着 Kimsuky 持续迭代工具链,针对其新型变种、跨平台攻击、AI 辅助攻击的追踪与防御仍将是长期研究重点。
编辑:芦笛(公共互联网反网络钓鱼工作组)
