Il gruppo di hacker nordcoreano Konni ha scoperto una nuova serie di attacchi che, per la prima volta, sfruttano la funzionalità di tracciamento delle risorse Find Hub di Google. Gli attacchi prendono di mira dispositivi Android e Windows per rubare dati e ottenerne il controllo remoto.
L'attività rilevata all'inizio di settembre 2025 ha rivelato che gli attacchi possono sfruttare i servizi di tracciamento delle risorse di Google Find Hub, portando così all'eliminazione non autorizzata di dati personali.
L'attacco inizia con una catena di attacchi in cui Konni invia e-mail di spear-phishing alle vittime per ottenere l'accesso ai loro computer. Quindi, sfrutta le sessioni di chat KakaoTalk delle vittime per inviare payload dannosi ai loro contatti sotto forma di archivio ZIP.
In un rapporto tecnico, il Genians Security Centre (GSC) ha affermato: "Gli aggressori si sono spacciati per consulenti psicologici e attivisti nordcoreani per i diritti umani, distribuendo malware camuffati da programmi antistress".
Un gruppo di sicurezza informatica sudcoreano afferma che il malware è destinato alle operazioni incentrate sulla Corea
Secondo gli investigatori, le email di spear-phishing sembrano provenire da aziende legittime, come il National Tax Service. Questo trucco induce gli utenti ad aprire allegati dannosi che contengono trojan di accesso remoto, come Lilith RAT, in grado di assumere il controllo dei computer compromessi e inviare payload aggiuntivi.
L'autore della minaccia può rimanere nascosto nel computer compromesso per oltre un anno, spiando tramite webcam e gestendo il sistema in assenza dell'utente. Il GSC ha affermato : "In questo processo, l'accesso ottenuto durante l'intrusione iniziale consente il controllo del sistema e la raccolta di informazioni aggiuntive, mentre le tattiche di elusione consentono l'occultamento a lungo termine".
Gli hacker possono rubare le credenziali degli account Google e Naver della vittima. Dopo aver ottenuto le password Google rubate, gli hacker le utilizzano per accedere al Find Hub di Google e cancellare i dati dei dispositivi da remoto.
Ad esempio, questi hacker hanno effettuato l'accesso a un account email di recupero elencato sotto Naver e hanno eliminato le email di avviso di sicurezza di Google. Inoltre, hanno svuotato la cartella cestino nella posta in arrivo per nascondere le loro tracce.
Gli hacker utilizzano anche un file ZIP. Viene propagato tramite l'app di messaggistica e contiene un pacchetto dannoso di Microsoft Installer (MSI) chiamato "Stress Clear.msi". Questo pacchetto utilizza una firma digitale fornita a un'azienda cinese per autenticare l'aspetto dell'applicazione. Una volta avviato, utilizza uno script batch per eseguire la configurazione di base.
Quindi esegue uno script Visual Basic (VBScript) che visualizza un falso messaggio di errore relativo a un problema di compatibilità del language pack mentre i comandi dannosi vengono eseguiti in background.
Per certi versi il malware è simile a Lilith RAT, ma gli è stato dato il nome in codice EndRAT (noto anche come EndClient RAT dal ricercatore di sicurezza Ovi Liber) a causa delle modifiche identificate.
Genians ha affermato che gli autori dell'APT Konni hanno utilizzato anche uno script AutoIt per avviare la versione 7.0.4 del RAT Remcos, divulgata pubblicamente il 10 settembre 2025 dal gruppo responsabile della sua manutenzione. Ora, gli hacker stanno utilizzando versioni più recenti del Trojan nei loro attacchi. Anche Quasar RAT e RftRAT, un altro trojan utilizzato da Kimsuky nel 2023, sono stati rilevati sui dispositivi presi di mira.
L'azienda sudcoreana di sicurezza informatica ha affermato: "Ciò suggerisce che il malware è stato concepito appositamente per operazioni incentrate sulla Corea e che ottenere dati rilevanti e condurre analisi approfondite richiede uno sforzo notevole".
Cresce l'impulso degli hacker sostenuti dalla Corea del Nord
Questo attacco è sicuramente un seguito alla campagna Konni APT, legata ai gruppi Kimsuky e APT 37 sostenuti dal governo nordcoreano.
Allo stesso tempo, ENKI ha rivelato che il Gruppo Lazarus ha utilizzato una versione aggiornata del malware Comebacker in attacchi contro aziende del settore aerospaziale e della difesa, utilizzando documenti Microsoft Word appositamente creati come esca nell'ambito di un'operazione di spionaggio. Affermano di provenire da Airbus, Edge Group e dall'Indian Institute of Technology di Kanpur per ingannare le persone.
Nel frattempo, come riportato da Cryptopolitan, il secondo viceministro degli Esteri Kim Ji-na ha annunciato che la Corea del Sud sta valutando sanzioni contro la Corea del Nord per i dilaganti crimini legati alle criptovalute e che la cooperazione con gli Stati Uniti è fondamentale.
Iscriviti gratuitamente per 30 giorni a una community premium di trading di criptovalute , normalmente al costo di 100 $ al mese.