Die nordkoreanische Hackergruppe Konni hat eine neue Angriffsmethode entdeckt, die erstmals die trac„Find Hub“ von Google nutzt. Die Angriffe zielen sowohl auf Android- als auch auf Windows-Geräte ab, um Daten zu stehlen und die Fernsteuerung zu erlangen.
Die Anfang September 2025 festgestellten Aktivitäten zeigten, dass die Angriffe Googles Asset trac-Dienste Find Hub ausnutzen können, was zur unbefugten Löschung personenbezogener Daten führen kann.
Der Angriff beginnt mit einer Angriffskette, in der Konni Spear-Phishing-E-Mails an Zielpersonen versendet, um Zugriff auf deren Computer zu erlangen. Anschließend nutzt Konni die angemeldeten KakaoTalk-Chat-App-Sitzungen der Zielpersonen, um Schadsoftware in Form eines ZIP-Archivs an deren Kontakte zu senden.
Das Genians Security Centre (GSC) erklärte in einem technischen Bericht: „Die Angreifer gaben sich als psychologische Berater und nordkoreanische Menschenrechtsaktivisten aus und verbreiteten Schadsoftware, die als Stressbewältigungsprogramme getarnt war.“
Eine südkoreanische Cybersicherheitsgruppe erklärt, dass die Schadsoftware für Operationen mit Fokus auf Korea bestimmt ist
Laut Ermittlern scheinen die Spear-Phishing-E-Mails von legitimen Unternehmen wie dem Finanzamt zu stammen. Mit diesem Trick werden Nutzer dazu verleitet, schädliche Anhänge zu öffnen, die Remote-Access-Trojaner wie Lilith RAT enthalten. Diese können die Kontrolle über kompromittierte Computer übernehmen und weitere Schadsoftware versenden.
Der Angreifer kann sich über ein Jahr lang auf dem kompromittierten Computer unentdeckt halten, über die Webcam spionieren und das System bedienen, wenn der Benutzer abwesend ist. GSC erklärte: „Der bei der ersten Eindringung erlangte Zugriff ermöglicht die Systemkontrolle und das Sammeln zusätzlicher Informationen, während Ausweichtaktiken eine langfristige Tarnung gewährleisten.“
Hacker können diedentfür Google- und Naver-Konten ihrer Opfer stehlen. Nachdem sie die gestohlenen Google-Passwörter erlangt haben, nutzen sie diese, um sich in Googles Find Hub einzuloggen und die Geräte der Opfer aus der Ferne zu löschen.
Diese Hacker loggten sich beispielsweise in ein Wiederherstellungs-E-Mail-Konto ein, das unter Naver hinterlegt war, und löschten E-Mails mit Sicherheitswarnungen von Google. Zusätzlich leerten sie den Papierkorb im Posteingang, um ihre traczu verwischen.
Die Hacker verwenden außerdem eine ZIP-Datei. Diese wird über eine Messaging-App verbreitet und enthält ein schädliches Microsoft Installer (MSI)-Paket namens „Stress Clear.msi“. Dieses Paket verwendet eine von einem chinesischen Unternehmen ausgestellte, gültige Signatur, um die Echtheit der Anwendung zu authentifizieren. Nach dem Start führt ein Batch-Skript die grundlegende Konfiguration durch.
Anschließend wird ein Visual Basic Script (VBScript) ausgeführt, das eine gefälschte Fehlermeldung über ein Kompatibilitätsproblem mit einem Sprachpaket anzeigt, während im Hintergrund die bösartigen Befehle ausgeführt werden.
Die Malware ähnelt Lilith RAT in mancher Hinsicht, erhielt aber aufgrund der identifizierten Änderungen den Codenamen EndRAT (auch bekannt als EndClient RAT vom Sicherheitsforscher Ovi Liberdent.
Genians gab an, dass die Konni-APT-Akteure auch ein AutoIt-Skript verwendeten, um die Remcos-RAT-Version 7.0.4 zu starten, die am 10. September 2025 von der für ihre Wartung zuständigen Gruppe öffentlich bekannt gegeben wurde. Hacker verwenden nun neuere Versionen des Trojaners für ihre Angriffe. Auch Quasar RAT und RftRAT, ein weiterer Trojaner, der 2023 von Kimsuky eingesetzt wurde, wurden auf Zielgeräten gefunden.
Das südkoreanische Cybersicherheitsunternehmen erklärte: „Dies deutet darauf hin, dass die Malware auf Operationen mit Fokus auf Korea zugeschnitten ist und dass die Beschaffung relevanter Daten und die Durchführung eingehender Analysen einen erheblichen Aufwand erfordern.“
Der Tatendrang der von Nordkorea unterstützten Hacker wächst
Dieser Angriff ist defieine Fortsetzung der Konni-APT-Kampagne, die mit den von der nordkoreanischen Regierung unterstützten Gruppen Kimsuky und APT 37 in Verbindung steht.
Gleichzeitig enthüllte ENKI, dass die Lazarus-Gruppe eine aktualisierte Version der Comebacker-Malware für Angriffe auf Unternehmen der Verteidigungs- und Luftfahrtindustrie einsetzte. Als Köder dienten speziell angefertigte Microsoft-Word-Dokumente im Rahmen einer Spionageoperation. Die Angreifer gaben sich als Mitarbeiter von Airbus, der Edge Group und des Indian Institute of Technology Kanpur aus, um ihre Opfer zu täuschen.
Unterdessen berichtete Cryptopolitan CryptopolitanSüdkorea erwäge Sanktionen gegen Nordkorea wegen der grassierenden Kryptowährungskriminalität, und dass die Zusammenarbeit mit den USA von entscheidender Bedeutung sei.
