Из Пхеньяна с любовью. Чем удивляет новая вредоносная кампании группировки Konni
Всего один шаг запускает длинную цепную реакцию.
Северокорейская группировка Konni провела новую кампанию с многоэтапной атакой, в которой использовала фишинговые письма и мессенджер KakaoTalk для распространения вредоносного кода. Схема позволила злоумышленникам не только закрепиться на компьютерах жертв, но и превратить их в канал для дальнейшего заражения.
Аналитики южнокорейской компании Genians установили, что начальный доступ злоумышленники получали через целевые письма. Сообщения маскировали под уведомления о назначении адресата лектором по теме прав человека в Северной Корее. Вложение содержало ZIP-архив с ярлыком Windows. После запуска файла система загружала следующий компонент с удалённого сервера, закреплялась через планировщик задач и показывала отвлекающий PDF-документ.
Основная нагрузка представляла собой троян удалённого доступа EndRAT, написанный на AutoIt. Программа давала операторам полный контроль над заражённой машиной, включая работу с файлами, выполнение команд и передачу данных. На скомпрометированных устройствах также обнаружили следы других вредоносных инструментов, включая RftRAT и Remcos, что говорит о повышенном интересе к конкретным целям и попытке повысить устойчивость атаки.
После проникновения злоумышленники долгое время оставались незамеченными, собирали внутренние документы и чувствительную информацию. Особенность кампании — использование установленного на компьютере KakaoTalk. Через учётную запись жертвы атакующие отправляли контактам ZIP-файлы с вредоносным содержимым, подбирая получателей вручную. Названия файлов имитировали материалы, связанные с тематикой Северной Кореи, чтобы повысить вероятность открытия.
Подобный приём Konni применяла и ранее. В конце 2025 года группа рассылала вредоносные архивы через активные сессии KakaoTalk и параллельно пыталась удалённо стирать данные на Android-устройствах, используя украденные учётные данные Google.
Текущая кампания показывает сдвиг в сторону комбинированных атак, где фишинг дополняется длительным скрытым присутствием, кражей данных и распространением через доверенные каналы связи. Использование заражённых пользователей как посредников усложняет обнаружение и увеличивает охват.