Detalles del ataque
Actores de amenazas norcoreanos han sido observados enviando correos de phishing para comprometer objetivos y obtener acceso a la aplicación de escritorio KakaoTalk de las víctimas, distribuyendo cargas maliciosas a contactos selectos. La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians al grupo de hacking conocido como Konni.
Según el análisis del Genians Security Center (GSC), el acceso inicial se logró mediante un correo de spear-phishing disfrazado como un aviso que nombraba al destinatario como conferencista de derechos humanos norcoreano. Tras el ataque exitoso, la víctima ejecutó un archivo LNK malicioso, resultando en una infección con un malware de acceso remoto. El malware permaneció oculto y persistente en el sistema de la víctima durante un período prolongado, robando documentos internos e información sensible.
Abuso de KakaoTalk
Se dice que el actor de amenazas permaneció en el host comprometido durante un largo período, aprovechando el acceso no autorizado para extraer documentos internos y utilizando la aplicación KakaoTalk para propagar selectivamente el malware a contactos específicos. El ataque es notable por abusar de la confianza asociada con las víctimas comprometidas para engañar y atrapar a objetivos adicionales. No es la primera vez que Konni utiliza la aplicación de mensajería como vector de distribución. En noviembre de 2025, el grupo fue encontrado abusando de sesiones de chat de KakaoTalk iniciadas para enviar cargas maliciosas a los contactos de las víctimas en forma de un archivo ZIP, mientras iniciaban simultáneamente un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.
Cadena de ataque
El punto de partida de la campaña de ataque más reciente es un correo de spear-phishing que se utiliza como una artimaña para engañar a los destinatarios y hacer que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Al ejecutarse, el archivo LNK descarga una carga útil de siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y finalmente ejecuta el malware, mientras muestra un documento PDF de señuelo al usuario como mecanismo de distracción.
Malware EndRAT
Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido mediante capacidades como gestión de archivos, acceso remoto a shell, transferencia de datos y persistencia. Un análisis más detallado del host infectado ha revelado la presencia de varios artefactos maliciosos, incluyendo scripts de AutoIt correspondientes a RftRAT y Remcos RAT, lo que indica que el adversario consideró a la víctima lo suficientemente valiosa como para implementar múltiples familias de RAT para mejorar la resiliencia.
Redistribución a través de contactos
Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicación KakaoTalk instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. Esto convierte efectivamente a las víctimas existentes en intermediarios para futuros ataques.
Esta campaña es evaluada como una operación de ataque de múltiples etapas que se extiende más allá del simple spear-phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas. El actor seleccionó ciertos contactos de la lista de amigos de la víctima y les envió archivos maliciosos adicionales. Al hacerlo, el atacante utilizó nombres de archivo disfrazados como materiales que introducían contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos.
