Nhóm tác nhân đe dọa liên kết với Triều Tiên, được biết đến với tên Konni (hay còn gọi là Earth Imp, Opal Sleet, Osmium, TA406 và Vedalia), đã được xác định là chủ mưu của một loạt các cuộc tấn công mới nhắm vào cả thiết bị Android và Windows để đánh cắp dữ liệu và kiểm soát từ xa.
"Những kẻ tấn công đã giả mạo các cố vấn tâm lý và nhà hoạt động nhân quyền Triều Tiên, phát tán malware ngụy trang thành các chương trình giảm căng thẳng," Trung tâm An ninh Genians (GSC) cho biết trong một báo cáo kỹ thuật.
Điều đáng chú ý về các cuộc tấn công nhắm vào thiết bị Android là khả năng phá hủy của các tác nhân đe dọa khi khai thác các dịch vụ theo dõi tài sản của Google là Find Hub (trước đây là Find My Device) để đặt lại thiết bị của nạn nhân từ xa, dẫn đến việc xóa dữ liệu cá nhân trái phép. Hoạt động này được phát hiện vào đầu tháng 9 năm 2025.
Sự phát triển này đánh dấu lần đầu tiên nhóm tin tặc này đã vũ khí hóa các chức năng quản lý hợp pháp để đặt lại thiết bị di động từ xa. Hoạt động này cũng được thực hiện sau một chuỗi tấn công trong đó kẻ tấn công tiếp cận mục tiêu thông qua các email spear-phishing để giành quyền truy cập vào máy tính của họ và lợi dụng các phiên KakaoTalk chat app đã đăng nhập để phân phối các payloads độc hại cho danh bạ của họ dưới dạng một ZIP archive.
Các email spear-phishing được cho là giả mạo các thực thể hợp pháp như Cục Thuế Quốc gia để lừa người nhận mở các tệp đính kèm độc hại nhằm phát tán các trojans truy cập từ xa như Lilith RAT, có thể điều khiển các máy bị xâm nhập từ xa và phân phối các payloads bổ sung.
"Tác nhân đe dọa đã ẩn mình trong máy tính bị xâm nhập hơn một năm, do thám qua webcam và vận hành hệ thống khi người dùng vắng mặt," GSC lưu ý. "Trong quá trình này, quyền truy cập có được trong lần xâm nhập ban đầu cho phép kiểm soát hệ thống và thu thập thông tin bổ sung, trong khi các chiến thuật né tránh cho phép che giấu lâu dài."
Malware được triển khai trên máy tính của nạn nhân cho phép các tác nhân đe dọa thực hiện trinh sát nội bộ và giám sát, cũng như exfiltrate thông tin đăng nhập tài khoản Google và Naver của nạn nhân. Thông tin đăng nhập Google bị đánh cắp sau đó được sử dụng để đăng nhập vào Find Hub của Google và bắt đầu quá trình remote wipe các thiết bị của họ.
Trong một trường hợp, những kẻ tấn công đã đăng nhập vào tài khoản email khôi phục được đăng ký dưới tên Naver, xóa các email cảnh báo bảo mật từ Google và dọn sạch thư mục thùng rác của hộp thư đến để che đậy dấu vết của hoạt động độc hại.
Tệp ZIP được phát tán qua ứng dụng nhắn tin chứa một Microsoft Installer (MSI) package độc hại ("Stress Clear.msi"), lợi dụng một chữ ký hợp lệ được cấp cho một công ty Trung Quốc để tạo ảo giác về tính hợp pháp cho ứng dụng. Sau khi khởi chạy, nó gọi một batch script để thực hiện thiết lập ban đầu và tiếp tục chạy một Visual Basic Script (VB Script) hiển thị thông báo lỗi giả mạo về vấn đề tương thích gói ngôn ngữ, trong khi các lệnh độc hại được thực thi trong nền.
Điều này bao gồm việc khởi chạy một AutoIt script được cấu hình để chạy mỗi phút bằng một scheduled task nhằm thực thi các lệnh bổ sung nhận được từ một external server ("116.202.99[.]218"). Mặc dù malware này có một số điểm tương đồng với Lilith RAT, nhưng nó đã được đặt tên mã là EndRAT (còn gọi là EndClient RAT bởi nhà nghiên cứu bảo mật Ovi Liber) do những khác biệt được quan sát.
Danh sách các lệnh được hỗ trợ như sau:
- shellStart, để bắt đầu một remote shell session
- shellStop, để dừng remote shell
- refresh, để gửi thông tin hệ thống
- list, để liệt kê các ổ đĩa hoặc thư mục gốc
- goUp, để di chuyển lên một thư mục
- download, để exfiltrate một tệp
- upload, để nhận một tệp
- run, để thực thi một chương trình trên host
- delete, để xóa một tệp trên host
Genians cho biết các tác nhân Konni APT cũng đã sử dụng một AutoIt script để khởi chạy Remcos RAT phiên bản 7.0.4, được các nhà phát triển, Breaking Security, phát hành vào ngày 10 tháng 9 năm 2025, cho thấy kẻ thù đang tích cực sử dụng các phiên bản mới hơn của trojan trong các cuộc tấn công của mình. Cũng được quan sát trên các thiết bị của nạn nhân là Quasar RAT và RftRAT, một trojan khác đã được Kimsuky sử dụng vào năm 2023.
"Điều này cho thấy malware được tùy chỉnh cho các hoạt động tập trung vào Hàn Quốc và việc thu thập dữ liệu liên quan cũng như tiến hành phân tích chuyên sâu đòi hỏi nỗ lực đáng kể," công ty an ninh mạng Hàn Quốc cho biết.
Nhóm Lazarus Group với biến thể Comebacker mới được hé lộ chi tiết
Tiết lộ này được đưa ra khi ENKI trình bày chi tiết về việc Lazarus Group sử dụng phiên bản cập nhật của malware Comebacker trong các cuộc tấn công nhắm vào các tổ chức hàng không vũ trụ và quốc phòng, sử dụng các Microsoft Word document lures được tùy chỉnh phù hợp với một chiến dịch espionage. Các lures này giả mạo Airbus, Edge Group và Indian Institute of Technology Kanpur.
Chuỗi infection bắt đầu khi nạn nhân mở tệp và kích hoạt macros, khiến VBA code được nhúng thực thi và phân phối một decoy document được hiển thị cho người dùng, cùng với một loader component chịu trách nhiệm khởi chạy Comebacker trong memory.
Malware này thiết lập giao tiếp với một command-and-control (C2) server qua HTTPS và đi vào một vòng lặp để thăm dò các lệnh mới hoặc tải xuống một payload được mã hóa và thực thi nó.
"Việc tác nhân sử dụng các lure document có tính đặc thù cao cho thấy đây là một chiến dịch spear-phishing có chủ đích," ENKI cho biết trong một báo cáo kỹ thuật. "Mặc dù cho đến nay chưa có báo cáo về nạn nhân, cơ sở hạ tầng C2 vẫn đang hoạt động tại thời điểm công bố này."
Kimsuky sử dụng JavaScript Dropper mới
Những phát hiện này cũng trùng khớp với việc phát hiện một JavaScript-based malware dropper mới đã được Kimsuky sử dụng trong các hoạt động gần đây, cho thấy sự cải tiến liên tục của kho vũ khí malware của tác nhân này. Cơ chế truy cập ban đầu mà JavaScript malware được phân phối hiện chưa được biết.
Điểm khởi đầu của cuộc tấn công là một JavaScript file ban đầu ("themes.js") liên hệ với một infrastructure do kẻ thù kiểm soát để lấy thêm JavaScript code có khả năng thực thi các lệnh, exfiltrate dữ liệu và truy xuất một third-stage JavaScript payload để tạo một scheduled task nhằm khởi chạy JavaScript file đầu tiên mỗi phút và khởi chạy một Word document trống, có thể là một decoy.
"Vì Word document trống và không chạy bất kỳ macros nào trong nền, nó có thể là một lure," Pulsedive Threat Research cho biết trong một phân tích được công bố tuần trước.
