Các tác nhân đe dọa từ Triều Tiên đã bị phát hiện gửi email phishing để xâm nhập mục tiêu và chiếm quyền truy cập ứng dụng KakaoTalk trên máy tính của nạn nhân nhằm phân phối các payload độc hại đến một số liên hệ nhất định.
Hoạt động này được công ty tình báo mối đe dọa Genians của Hàn Quốc gán cho nhóm tin tặc được gọi là Konni.
"Quyền truy cập ban đầu đạt được thông qua một email spear-phishing ngụy trang thành một thông báo bổ nhiệm người nhận làm giảng viên nhân quyền Triều Tiên," Genians Security Center (GSC) đã lưu ý trong một phân tích.
"Sau khi cuộc tấn công spear-phishing thành công, nạn nhân đã thực thi một tệp tin LNK độc hại, dẫn đến việc bị nhiễm mã độc truy cập từ xa. Mã độc này vẫn ẩn mình và duy trì trên endpoint của nạn nhân trong một thời gian dài, đánh cắp các tài liệu nội bộ và thông tin nhạy cảm."
Tác nhân đe dọa được cho là đã duy trì trên máy chủ bị xâm nhập trong một thời gian dài, tận dụng quyền truy cập trái phép để hút các tài liệu nội bộ và sử dụng ứng dụng KakaoTalk để phát tán mã độc một cách chọn lọc đến các liên hệ cụ thể.
Cuộc tấn công này đáng chú ý vì đã lạm dụng sự tin tưởng liên quan đến các nạn nhân bị xâm nhập để lừa dối và bẫy thêm các mục tiêu khác. Đây không phải là lần đầu tiên Konni sử dụng ứng dụng nhắn tin này làm vector phát tán. Vào tháng 11 năm 2025, nhóm tin tặc này đã được phát hiện lạm dụng các phiên đăng nhập ứng dụng chat KakaoTalk để gửi các payload độc hại đến danh bạ của nạn nhân dưới dạng tệp tin ZIP, đồng thời khởi tạo việc xóa dữ liệu từ xa trên các thiết bị Android của họ bằng cách sử dụng thông tin đăng nhập Google bị đánh cắp.
Điểm khởi đầu của chiến dịch tấn công mới nhất là một email spear-phishing được sử dụng làm mồi nhử để lừa người nhận mở một tệp tin đính kèm ZIP chứa một shortcut (LNK) của Windows. Khi thực thi, tệp tin LNK sẽ tải xuống một payload giai đoạn tiếp theo từ máy chủ bên ngoài, thiết lập cơ chế duy trì (persistence) bằng cách sử dụng scheduled tasks và cuối cùng thực thi mã độc, đồng thời hiển thị một tài liệu PDF giả mạo cho người dùng như một cơ chế đánh lạc hướng.
Được viết bằng AutoIt, mã độc được tải xuống là một remote access trojan (RAT) có tên EndRAT (hay còn gọi là EndClient RAT), cho phép kẻ tấn công điều khiển máy chủ bị xâm nhập từ xa thông qua các khả năng như quản lý tệp, truy cập remote shell, truyền dữ liệu và persistence.
Phân tích sâu hơn về máy chủ bị nhiễm đã phát hiện sự hiện diện của nhiều artifact độc hại khác nhau, bao gồm các script AutoIt tương ứng với RftRAT và RemcosRAT, cho thấy rằng kẻ thù coi nạn nhân đủ giá trị để triển khai nhiều họ RAT nhằm tăng cường khả năng phục hồi.
Một khía cạnh quan trọng của cuộc tấn công là việc tác nhân đe dọa đã lạm dụng ứng dụng KakaoTalk của nạn nhân được cài đặt trên hệ thống bị nhiễm để phân phối các tệp tin độc hại dưới dạng tệp tin ZIP cho các cá nhân khác trong danh bạ của họ và triển khai cùng loại mã độc. Điều này về cơ bản biến các nạn nhân hiện có thành trung gian cho các cuộc tấn công tiếp theo.
"Chiến dịch này được đánh giá là một hoạt động tấn công đa giai đoạn vượt ra ngoài phạm vi spear-phishing đơn giản, kết hợp persistence dài hạn, đánh cắp thông tin và tái phân phối dựa trên tài khoản," Genians cho biết. "Kẻ tấn công đã chọn một số liên hệ từ danh sách bạn bè của nạn nhân và gửi cho họ các tệp tin độc hại bổ sung. Khi làm như vậy, kẻ tấn công đã sử dụng các tên tệp được ngụy trang thành tài liệu giới thiệu nội dung liên quan đến Triều Tiên để lừa người nhận mở tệp."
