Il gruppo di hacker nordcoreano Konni ha scoperto una nuova serie di attacchi che, per la prima volta, sfruttano la funzionalità di tracdelle risorse di Google Find Hub. Gli attacchi prendono di mira sia i dispositivi Android che Windows per rubare dati e ottenerne il controllo remoto.
L'attività rilevata all'inizio di settembre 2025 ha rivelato che gli attacchi possono sfruttare i servizi tracdelle risorse di Google Find Hub, portando così all'eliminazione non autorizzata di dati personali.
L'attacco inizia con una catena di attacchi in cui Konni invia e-mail di spear-phishing alle vittime per ottenere l'accesso ai loro computer. Quindi, sfrutta le sessioni di chat KakaoTalk delle vittime per inviare payload dannosi ai loro contatti sotto forma di archivio ZIP.
In un rapporto tecnico, il Genians Security Centre (GSC) ha affermato: "Gli aggressori si sono spacciati per consulenti psicologici e attivisti nordcoreani per i diritti umani, distribuendo malware camuffati da programmi antistress"
Un gruppo di sicurezza informatica sudcoreano afferma che il malware è destinato alle operazioni incentrate sulla Corea
Secondo gli investigatori, le email di spear-phishing sembrano provenire da aziende legittime, come il National Tax Service. Questo trucco induce gli utenti ad aprire allegati dannosi che contengono trojan di accesso remoto, come Lilith RAT, in grado di assumere il controllo dei computer compromessi e inviare payload aggiuntivi.
L'autore della minaccia può rimanere nascosto nel computer compromesso per oltre un anno, spiando tramite la webcam e gestendo il sistema in assenza dell'utente. GSC ha dichiarato: "In questo processo, l'accesso ottenuto durante l'intrusione iniziale consente il controllo del sistema e la raccolta di ulteriori informazioni, mentre le tattiche di elusione permettono di rimanere nascosti a lungo termine".
Gli hacker possono rubare ledentdegli account Google e Naver della vittima. Dopo aver ottenuto le password Google rubate, gli hacker le utilizzano per accedere al Find Hub di Google e cancellare i dati dei dispositivi da remoto.
Ad esempio, questi hacker hanno effettuato l'accesso a un account email di recupero elencato sotto Naver e hanno eliminato le email di avviso di sicurezza di Google. Inoltre, hanno svuotato la cartella cestino nella posta in arrivo per nascondere le loro trac.
Gli hacker utilizzano anche un file ZIP. Viene propagato tramite l'app di messaggistica e contiene un pacchetto dannoso di Microsoft Installer (MSI) chiamato "Stress Clear.msi". Questo pacchetto utilizza una firma digitale fornita a un'azienda cinese per autenticare l'aspetto dell'applicazione. Una volta avviato, utilizza uno script batch per eseguire la configurazione di base.
Quindi esegue uno script Visual Basic (VBScript) che visualizza un falso messaggio di errore relativo a un problema di compatibilità del language pack mentre i comandi dannosi vengono eseguiti in background.
Il malware è simile a Lilith RAT per certi versi, ma gli è stato dato il nome in codice EndRAT (noto anche come EndClient RAT dal ricercatore di sicurezza Ovi Liber) a causa delle modifiche che sono statedent.
Genians ha affermato che gli autori dell'APT Konni hanno utilizzato anche uno script AutoIt per avviare la versione 7.0.4 del RAT Remcos, divulgata pubblicamente il 10 settembre 2025 dal gruppo responsabile della sua manutenzione. Ora, gli hacker stanno utilizzando versioni più recenti del Trojan nei loro attacchi. Anche Quasar RAT e RftRAT, un altro trojan utilizzato da Kimsuky nel 2023, sono stati rilevati sui dispositivi presi di mira.
L'azienda sudcoreana di sicurezza informatica ha affermato: "Ciò suggerisce che il malware è stato concepito appositamente per operazioni incentrate sulla Corea e che ottenere dati rilevanti e condurre analisi approfondite richiede uno sforzo notevole"
Cresce l'impulso degli hacker sostenuti dalla Corea del Nord
Questo attacco è defiun seguito alla campagna Konni APT, che è legata ai gruppi Kimsuky e APT 37 sostenuti dal governo nordcoreano.
Allo stesso tempo, ENKI ha rivelato che il Gruppo Lazarus ha utilizzato una versione aggiornata del malware Comebacker in attacchi contro aziende del settore aerospaziale e della difesa, utilizzando documenti Microsoft Word appositamente creati come esca nell'ambito di un'operazione di spionaggio. Affermano di provenire da Airbus, Edge Group e dall'Indian Institute of Technology di Kanpur per ingannare le persone.
Nel frattempo, come riportato da Cryptopolitan, il secondo viceministro degli Esteri Kim Ji-na ha annunciato che la Corea del Sud sta valutando sanzioni contro la Corea del Nord per i dilaganti crimini legati alle criptovalute e che la cooperazione con gli Stati Uniti è fondamentale.
