Kimsuky targets organizations with PebbleDash-based tools
Key Insight
Kimsuky hat zwei Varianten des httpMalice-Backdoors entwickelt: eine HTTP/HTTPS-Variante (v1.9) mit Windows-Service-Persistierung und eine ältere Dropbox-API-basierte Variante (v1.8), die auf europäische und DACH-Organisationen abzielen könnten.
Beschreibung
Kaspersky hat neue PebbleDash-basierte Tools der nordkoreanischen APT Kimsuky analysiert. Das httpMalice-Backdoor existiert in zwei Versionen: v1.9 kommuniziert über HTTP/HTTPS und etabliert Persistenz durch einen Windows-Service namens CacheDB; v1.8 nutzt die Dropbox-API mit vordefinierten Credentials. Beide Varianten ermöglichen Remote Access und Persistierung je nach Token-Berechtigung durch Service-Erstellung oder Autostart-Registrierung. Die Kampagne richtet sich gegen globale Organisationen, was europäische Ziele einschließt.
Risk Score
- strategic relevance
- 0.80
Pfad: strategic