北朝鮮のハッカー集団「Konni」は、GoogleのFind Hubの資産 trac機能を初めて利用した新たな一連の攻撃を発見しました。この攻撃はAndroidとWindowsの両方のデバイスを標的とし、データの窃取と遠隔操作を目的としています。.
2025年9月初旬に検出された活動により、攻撃がGoogleの資産 tracサービスFind Hubを悪用し、個人データの不正削除につながる可能性があることが明らかになりました。.
ハッキングは、Konniが標的のコンピュータにアクセスするためにスピアフィッシングメールを送信する一連の攻撃から始まります。その後、標的がログインしているKakaoTalkチャットアプリのセッションを利用して、ZIPアーカイブ形式で悪意のあるペイロードを連絡先に送信します。.
ジェニアン・セキュリティ・センター(GSC)は技術レポートの中で、「攻撃者は心理カウンセラーや北朝鮮の人権活動家になりすまし、ストレス解消プログラムを装ったマルウェアを配布した」と述べています。
韓国のサイバーセキュリティ団体は、マルウェアは韓国を狙った活動を目的としていると述べている
捜査官によると、スピアフィッシングメールは、国税庁などの正当な企業から送信されたように見せかけられています。この手口は、ユーザーを騙して悪意のある添付ファイルを開かせ、その中にはLilith RATなどのリモートアクセス型トロイの木馬が含まれており、侵入先のコンピュータを制御し、追加のペイロードを送信する可能性があります。
攻撃者は、侵害したコンピュータに1年以上潜伏し、ウェブカメラを通してスパイ行為を行ったり、ユーザーが不在の時にシステムを操作したりすることができる。GSCは 、「このプロセスにおいて、最初の侵入時に取得したアクセス権によってシステム制御と追加情報の収集が可能になり、回避戦術によって長期的な隠蔽が可能になる」と述べている。
ハッカーは被害者のGoogleアカウントとNaverアカウントのdent情報を盗むことができます。盗んだGoogleパスワードを入手したハッカーは、それを使ってGoogle Find Hubにログインし、遠隔操作でデバイスのデータを消去します。.
例えば、これらのハッカーはNAVERに登録されている再設定用のメールアカウントにログインし、Googleのセキュリティ警告メールを削除しました。さらに、 tracを隠すために受信トレイのゴミ箱フォルダを空にしました。.
ハッカーはZIPファイルも利用しています。これはメッセージングアプリを介して拡散され、「Stress Clear.msi」と呼ばれる悪意のあるMicrosoftインストーラー(MSI)パッケージが含まれています。このパッケージは、中国企業に提供された法的署名を使用してアプリケーションの外観を認証します。起動すると、バッチスクリプトを使用して基本的なセットアップを実行します。.
次に、悪意のあるコマンドがバックグラウンドで実行されている間に、言語パックの互換性の問題に関する偽のエラー メッセージを表示する Visual Basic Script (VBScript) を実行します。.
この マルウェアは された変更により、EndRAT (セキュリティ研究者の Ovi Liber は EndClient RAT とも呼んでいます) というコード名が付けられていますdent。
Geniansによると、Konni APTの攻撃者は、2025年9月10日にメンテナンスを担当するグループによって公開されたRemcos RATバージョン7.0.4を起動するためにAutoItスクリプトも使用していました。現在、ハッカーは攻撃にこのトロイの木馬の新しいバージョンを使用しています。Quasar RATと、2023年にKimsukyが使用した別のトロイの木馬であるRftRATも、標的のデバイスで発見されています。.
韓国のサイバーセキュリティ企業は、「これは、マルウェアが韓国に焦点を絞った活動に合わせてカスタマイズされており、関連データを入手して詳細な分析を行うには相当の労力が必要であることを示唆している」と述べた。
北朝鮮の支援を受けたハッカーの勢いが増す
この攻撃は defiなく、北朝鮮政府が支援する Kimsuky および APT 37 グループと関連のある Konni APT キャンペーンの続編です。.
同時に、ENKIは、 Lazarus Groupが Comebackerマルウェアの最新バージョンを使用し、スパイ活動の一環として、特別に作成されたMicrosoft Word文書を餌として防衛・航空宇宙企業を攻撃したことを明らかにした。彼らは、エアバス、Edge Group、インド工科大学カンプール校を装い、人々を欺いている。
一方、 報じた が Cryptopolitan、韓国のキム・ジナ第2外務次官は、横行する仮想通貨犯罪を理由に北朝鮮への制裁を検討しており、米国との協力が重要だと発表した。
