Se ha observado que los atacantes norcoreanos envían ataques de phishing para comprometer objetivos, obtener acceso a las aplicaciones de escritorio KakaoTalk de las víctimas y distribuir cargas útiles maliciosas a contactos específicos.
La firma surcoreana de inteligencia de amenazas Genians atribuye esta actividad a un grupo de hackers llamado Konni.
«El acceso inicial se logró a través de un correo electrónico de phishing disfrazado de notificación que designaba al destinatario como profesor de derechos humanos en Corea del Norte», dijo el Centro de Seguridad Jennians (GSC) en un análisis.
«Después de un exitoso ataque de phishing, la víctima ejecutó un archivo LNK malicioso, lo que resultó en una infección con malware de acceso remoto. El malware permaneció oculto en el terminal de la víctima durante un período prolongado, persistiendo y extrayendo documentos internos e información confidencial».
El atacante supuestamente permaneció en el host comprometido durante un período prolongado, utilizó acceso no autorizado para desviar documentos internos y utilizó la aplicación KakaoTalk para propagar selectivamente malware a contactos específicos.
Este ataque se destaca porque explota la confianza asociada con las víctimas comprometidas para engañar y atrapar a otros objetivos. Esta no es la primera vez que Konni adopta aplicaciones de mensajería como vector de distribución. En noviembre de 2025, se descubrió que el grupo de piratas informáticos abusaba de las sesiones iniciadas en la aplicación de chat KakaoTalk para enviar cargas útiles maliciosas a los contactos de las víctimas en forma de archivos ZIP, al mismo tiempo que iniciaba borrados remotos de dispositivos Android utilizando credenciales de Google robadas.
El punto de partida de la última campaña de ataque es un correo electrónico de phishing utilizado como artimaña para engañar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Una vez ejecutado, el archivo LNK descarga la carga útil de la siguiente etapa desde un servidor externo, utiliza una tarea programada para establecer la persistencia y finalmente ejecuta el malware. Al mismo tiempo, muestra un documento PDF señuelo al usuario como mecanismo de distracción.
El malware descargado escrito con AutoIt es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT) que permite a los operadores hacerse cargo de forma remota de hosts comprometidos a través de funciones como administración de archivos, acceso remoto al shell, transferencia de datos y persistencia.
Un análisis más detallado de los hosts infectados reveló la presencia de varios artefactos maliciosos, incluidos scripts AutoIt para RftRAT y RemcosRAT. Esto indica que el atacante consideró que la víctima era lo suficientemente valiosa como para eliminar varias familias de RAT y mejorar la resiliencia.
Un aspecto clave de este ataque es que el actor de amenazas explota la aplicación KakaoTalk de la víctima instalada en el sistema infectado, distribuyendo archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementando el mismo malware. Básicamente, esto convierte a las víctimas existentes en vectores de futuros ataques.
«Se considera que esta campaña es una campaña de múltiples etapas que va más allá del simple phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas», dijo Jennians. «El atacante seleccionó contactos específicos de la lista de amigos de la víctima y envió archivos maliciosos adicionales. En ese momento, el atacante utilizó un nombre de archivo disfrazado de material que promocionaba contenido relacionado con Corea del Norte para inducir al destinatario a abrir el archivo».
Source link
