«Лаборатории Касперского» удалось найти еще одну кампанию кибершпионажа, которая нацелена на южнокорейские государственные структуры, а также НИИ. Операция называется Kimsuky. Она весьма ограничена и таргетирована. Согласно проведенному анализу, ее целями являются одиннадцать организаций в Южной Корее и две – в Китае. Атаке подверглись Корейский Институт Защитного Анализа (KIDA), Сечжонский Институт, логистическая компания Hyundai Merchant Marine, Министерство Объединения, а также сторонники объединения Республики Корея.

Признаки активности заметили 3 апреля 2013 года. Первые образцы троянца были доступны 5 мая текущего года. Эту не такую уж сложную шпионскую программу , от которой может избавить только хороший компьютерный сервис методом очистки памяти от вредоносных программ, отличает наличие ошибок в коде, осуществление коммуникаций с помощью болгарского бесплатного почтового сервиса mail.bg.

Точный способ заражения установить не удалось. Однако эксперты уверены, что распространение Kimsuky происходило с помощью рассылки целевых фишинговых писем. Троянец обладает таким функционалом, как слежение за нажатием клавиш, составление, а потом и кража списка файлов во всех каталогах, удаленное управление компьютером, хищение документов формата HWP, который используется в южнокорейских государственных учреждениях в составе пакета Hancom Office.

Это и дало основания предположить, что кража HWP-файлов была основной задачей троянца. Плюс к этому, атакующие использовали модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора. С его помощью они могли получать любые файлы с зараженной машины.