El grupo de hackers norcoreano Konni ha descubierto un nuevo conjunto de ataques que, por primera vez, utilizan la función de tracde activos Find Hub de Google. Los ataques se dirigen tanto a dispositivos Android como Windows para robar datos y obtener control remoto.
La actividad detectada a principios de septiembre de 2025 reveló que los ataques pueden explotar los servicios tracde activos de Google, Find Hub, lo que conduce a la eliminación no autorizada de datos personales.
El ataque comienza con una cadena de ataques en la que Konni envía correos electrónicos de phishing selectivo a sus objetivos para acceder a sus computadoras. Luego, utilizan las sesiones iniciadas en la aplicación de chat KakaoTalk de los objetivos para enviar cargas maliciosas a sus contactos en forma de archivo ZIP.
El Centro de Seguridad Genians (GSC) afirmó en un informe técnico: “Los atacantes se hicieron pasar por consejeros psicológicos y activistas de derechos humanos de Corea del Norte y distribuyeron malware camuflado como programas de alivio del estrés”
Un grupo de ciberseguridad de Corea del Sur afirma que el malware está destinado a operaciones centradas en Corea
Según los investigadores, los correos electrónicos de phishing selectivo parecen provenir de empresas legítimas, como el Servicio Nacional de Impuestos. Este truco engaña a los usuarios para que abran archivos adjuntos maliciosos que contienen troyanos de acceso remoto, como Lilith RAT, que pueden tomar el control de los equipos comprometidos y enviar cargas útiles adicionales.
El atacante puede permanecer oculto en el ordenador comprometido durante más de un año, espiando a través de la cámara web y controlando el sistema cuando el usuario está ausente. GSC declaró: «En este proceso, el acceso obtenido durante la intrusión inicial permite el control del sistema y la recopilación de información adicional, mientras que las tácticas de evasión posibilitan el ocultamiento a largo plazo».
Los hackers pueden robar lasdentde las cuentas de Google y Naver de la víctima. Tras obtener las contraseñas robadas de Google, las usan para iniciar sesión en Find Hub de Google y borrar los datos de sus dispositivos de forma remota.
Por ejemplo, estos hackers iniciaron sesión en una cuenta de correo electrónico de recuperación de Naver y eliminaron los correos electrónicos de alerta de seguridad de Google. Además, vaciaron la papelera de la bandeja de entrada para ocultar su trac.
Los hackers también usan un archivo ZIP. Este se propaga a través de la aplicación de mensajería y contiene un paquete malicioso de Microsoft Installer (MSI) llamado "Stress Clear.msi". Este paquete utiliza una firma legal proporcionada a una empresa china para autenticar la apariencia de la aplicación. Una vez iniciada, utiliza un script por lotes para realizar la configuración básica.
Luego ejecuta un script de Visual Basic (VBScript) que muestra un mensaje de error falso sobre un problema de compatibilidad del paquete de idioma mientras los comandos maliciosos se ejecutan en segundo plano.
El malware es similar a Lilith RAT en algunos aspectos, pero se le ha dado el nombre clave EndRAT (también conocido como EndClient RAT por el investigador de seguridad Ovi Liber) debido a los cambios que se handent.
Los Genians afirmaron que los actores de la APT Konni también usaron un script de AutoIt para iniciar Remcos RAT versión 7.0.4, que fue divulgado públicamente el 10 de septiembre de 2025 por el grupo responsable de su mantenimiento. Ahora, los hackers están usando versiones más recientes del troyano en sus ataques. Quasar RAT y RftRAT, otro troyano utilizado por Kimsuky en 2023, también se han encontrado en los dispositivos objetivo.
La empresa de ciberseguridad surcoreana afirmó: “Esto sugiere que el malware está diseñado para operaciones centradas en Corea y que obtener datos relevantes y realizar un análisis en profundidad requiere un esfuerzo sustancial”
El ímpetu de los piratas informáticos respaldados por Corea del Norte crece
Este ataque es defiuna continuación de la campaña Konni APT, que está vinculada a los grupos Kimsuky y APT 37 que respalda el gobierno de Corea del Norte.
Al mismo tiempo, ENKI reveló que el Grupo Lazarus utilizó una versión actualizada del malware Comebacker en ataques contra empresas de defensa y aeroespaciales, utilizando documentos de Microsoft Word creados específicamente para este fin como cebo en una operación de espionaje. Afirman ser de Airbus, Edge Group y el Instituto Indio de Tecnología de Kanpur para engañar a la gente.
Mientras tanto, como informó Cryptopolitan Cryptopolitan, el segundo viceministro de Relaciones Exteriores, Kim Ji-na, anunció que Corea del Sur está considerando sanciones contra Corea del Norte por el crimen desenfrenado con criptomonedas, y que la cooperación con Estados Unidos es fundamental
