O grupo Konni, da Coreia do Norte, usa a plataforma Find Hub do Google como arma para roubar logins

O grupo de hackers norte-coreano Konni descobriu um novo conjunto de ataques que, pela primeira vez, utilizam o recurso de tracde ativos Find Hub do Google. Os ataques têm como alvo dispositivos Android e Windows para roubar dados e obter controle remoto.

A atividade detectada no início de setembro de 2025 revelou que os ataques podem explorar os serviços tracde ativos do Google, o Find Hub, levando assim à exclusão não autorizada de dados pessoais. 

O ataque começa com uma sequência de tentativas em que Konni envia e-mails de spear-phishing para obter acesso aos computadores dos alvos. Em seguida, eles usam as sessões do aplicativo de bate-papo KakaoTalk em que os alvos estão logados para enviar payloads maliciosos aos seus contatos na forma de um arquivo ZIP.

O Centro de Segurança Genians (GSC, na sigla em inglês), em um relatório técnico, afirmou: "Os atacantes se fizeram passar por conselheiros psicológicos e ativistas de direitos humanos norte-coreanos, distribuindo malware disfarçado de programas de alívio do estresse." 

Grupo de cibersegurança sul-coreano afirma que malware é direcionado a operações focadas na Coreia

Segundo os investigadores, os emails de spear-phishing parecem originar-se de empresas legítimas, como o Serviço Nacional de Impostos. Este truque engana os utilizadores, levando-os a abrir anexos maliciosos que contêm cavalos de Troia de acesso remoto, como o Lilith RAT, que podem assumir o controlo de computadores infetados e enviar cargas maliciosas adicionais.

O invasor pode permanecer oculto no computador comprometido por mais de um ano, espionando através da webcam e operando o sistema quando o usuário está ausente. A GSC afirmou: “Nesse processo, o acesso obtido durante a intrusão inicial permite o controle do sistema e a coleta de informações adicionais, enquanto as táticas de evasão possibilitam o ocultamento a longo prazo.”

Hackers podem roubar asdentdas contas Google e Naver da vítima. Depois de obterem as senhas roubadas do Google, os hackers as usam para acessar o Find Hub do Google e apagar os dados dos dispositivos remotamente.

Por exemplo, esses hackers acessaram uma conta de e-mail de recuperação listada no Naver e deletaram e-mails de alerta de segurança do Google. Além disso, esvaziaram a pasta de lixo eletrônico da caixa de entrada para ocultar seus trac.

Os hackers também estão usando um arquivo ZIP. Ele é propagado por meio do aplicativo de mensagens e contém um pacote malicioso do Microsoft Installer (MSI) chamado “Stress Clear.msi”. Este pacote usa uma assinatura legal fornecida a uma empresa chinesa para autenticar a aparência do aplicativo. Uma vez iniciado, ele usa um script em lote para realizar a configuração básica. 

Em seguida, executa um script Visual Basic (VBScript) que exibe uma mensagem de erro falsa sobre um problema de compatibilidade com o pacote de idiomas, enquanto os comandos maliciosos são executados em segundo plano. 

O malware é semelhante ao Lilith RAT em alguns aspectos, mas recebeu o codinome EndRAT (também conhecido como EndClient RAT pelo pesquisador de segurança Ovi Liber) devido às alterações que foramdent.

A Genians afirmou que os agentes do grupo Konni APT também usaram um script AutoIt para iniciar o Remcos RAT versão 7.0.4, que foi divulgado publicamente em 10 de setembro de 2025 pelo grupo responsável por sua manutenção. Agora, os hackers estão usando versões mais recentes do Trojan em seus ataques. O Quasar RAT e o RftRAT, outro Trojan usado por Kimsuky em 2023, também foram encontrados em dispositivos-alvo.

A empresa sul-coreana de cibersegurança afirmou: "Isso sugere que o malware foi desenvolvido especificamente para operações focadas na Coreia e que a obtenção de dados relevantes e a realização de análises aprofundadas exigem um esforço considerável."

O ímpeto dos hackers apoiados pela Coreia do Norte aumenta 

Este ataque é defiuma continuação da campanha Konni APT, que está ligada aos grupos Kimsuky e APT 37, apoiados pelo governo norte-coreano. 

Ao mesmo tempo, a ENKI revelou que o Grupo Lazarus usou uma versão atualizada do malware Comebacker em ataques contra empresas de defesa e aeroespaciais, utilizando documentos do Microsoft Word especialmente criados como isca, como parte de uma operação de espionagem. Eles alegam ser da Airbus, do Edge Group e do Instituto Indiano de Tecnologia de Kanpur para enganar as pessoas.

Entretanto, conforme relatado pelo Cryptopolitan, a segunda vice-ministra das Relações Exteriores, Kim Ji-na, anunciou que a Coreia do Sul está considerando sanções contra a Coreia do Norte devido ao crime desenfreado envolvendo criptomoedas e que a cooperação com os EUA é crucial.