Le groupe de pirates informatiques nord-coréen Konni a découvert une nouvelle série d'attaques qui, pour la première fois, exploitent la fonctionnalité de tracdes ressources de Google Find Hub. Ces attaques ciblent les appareils Android et Windows afin de voler des données et d'en prendre le contrôle à distance.
L'activité détectée début septembre 2025 a révélé que les attaques pouvaient exploiter les services tracdes actifs de Google, Find Hub, permettant ainsi la suppression non autorisée de données personnelles.
Le piratage débute par une série d'attaques au cours desquelles Konni envoie des courriels d'hameçonnage ciblés à ses victimes afin d'accéder à leurs ordinateurs. Les pirates utilisent ensuite les sessions de messagerie instantanée KakaoTalk des victimes pour envoyer des fichiers malveillants à leurs contacts sous forme d'archive ZIP.
Le Centre de sécurité Genians (GSC) a déclaré dans un rapport technique : « Les attaquants se sont fait passer pour des conseillers psychologiques et des militants nord-coréens des droits de l'homme, distribuant des logiciels malveillants déguisés en programmes de soulagement du stress. »
Un groupe sud-coréen de cybersécurité affirme que le logiciel malveillant est destiné à des opérations ciblées sur la Corée
D'après les enquêteurs, les courriels d'hameçonnage ciblés semblent provenir d'entreprises légitimes, comme le Service national des impôts. Cette technique trompe les utilisateurs en les incitant à ouvrir des pièces jointes malveillantes contenant des chevaux de Troie d'accès à distance, tels que Lilith RAT, capables de prendre le contrôle des ordinateurs compromis et d'y envoyer des charges utiles supplémentaires.
L'attaquant peut rester dissimulé dans l'ordinateur compromis pendant plus d'un an, espionnant via la webcam et exploitant le système en l'absence de l'utilisateur. GSC a déclaré: « Dans ce processus, l'accès obtenu lors de l'intrusion initiale permet le contrôle du système et la collecte d'informations supplémentaires, tandis que les techniques d'évasion permettent une dissimulation à long terme. »
Les pirates peuvent voler lesdentdes comptes Google et Naver de leurs victimes. Une fois en possession des mots de passe Google volés, ils les utilisent pour se connecter à Google Find Hub et effacer les données des appareils à distance.
Par exemple, ces pirates se sont connectés à un compte de messagerie de récupération associé à Naver et ont supprimé les alertes de sécurité de Google. De plus, ils ont vidé la corbeille de la boîte de réception pour effacer leurs trac.
Les pirates utilisent également un fichier ZIP. Ce fichier est diffusé via une application de messagerie contenant un package Microsoft Installer (MSI) malveillant nommé « Stress Clear.msi ». Ce package utilise une signature légale fournie à une entreprise chinoise pour authentifier l'apparence de l'application. Une fois lancée, elle exécute un script batch pour effectuer la configuration de base.
Il exécute ensuite un script Visual Basic (VBScript) qui affiche un faux message d'erreur concernant un problème de compatibilité de pack de langue, tandis que les commandes malveillantes sont exécutées en arrière-plan.
Le logiciel malveillant est similaire à Lilith RAT à certains égards, mais il a reçu le nom de code EndRAT (également connu sous le nom d'EndClient RAT par le chercheur en sécurité Ovi Liber) en raison des changements qui ont étédent.
Genians a indiqué que les membres du groupe Konni APT utilisaient également un script AutoIt pour lancer le RAT Remcos version 7.0.4, rendu public le 10 septembre 2025 par l'équipe chargée de sa maintenance. Désormais, les pirates utilisent des versions plus récentes de ce cheval de Troie dans leurs attaques. Quasar RAT et RftRAT, un autre cheval de Troie utilisé par Kimsuky en 2023, ont également été détectés sur les appareils ciblés.
La société sud-coréenne de cybersécurité a déclaré : « Cela suggère que le logiciel malveillant est adapté aux opérations axées sur la Corée et que l'obtention de données pertinentes et la réalisation d'une analyse approfondie nécessitent des efforts considérables. »
L'élan des pirates informatiques soutenus par la Corée du Nord s'accroît
Cette attaque fait defisuite à la campagne Konni APT, liée aux groupes Kimsuky et APT 37 soutenus par le gouvernement nord-coréen.
Dans le même temps, ENKI a révélé que le groupe Lazarus avait utilisé une version mise à jour du logiciel malveillant Comebacker lors d'attaques contre des entreprises des secteurs de la défense et de l'aérospatiale. Dans le cadre d'une opération d'espionnage, les auteurs de ces attaques utilisaient des documents Microsoft Word spécialement conçus comme appâts. Ils prétendaient appartenir à Airbus, au groupe Edge et à l'Institut indien de technologie de Kanpur afin de tromper leurs victimes.
Par ailleurs, comme a rapporté l' Cryptopolitan, la deuxième vice-ministre des Affaires étrangères, Kim Ji-na, a annoncé que la Corée du Sud envisageait des sanctions contre la Corée du Nord en raison de la criminalité endémique liée aux cryptomonnaies, et que la coopération avec les États-Unis était essentielle.
