O grupo ligado à Coreia do Norte conhecido como Konni (também chamado Earth Imp, Opal Sleet, Osmium, TA406 e Vedalia) foi identificado como responsável por uma nova série de ataques que têm como alvo dispositivos Android e Windows, visando o roubo de dados e o controle remoto.
Segundo o Genians Security Center (GSC), os invasores se passaram por conselheiros psicológicos e ativistas de direitos humanos da Coreia do Norte, distribuindo malware disfarçado como programas para alívio do estresse.
Um aspecto preocupante desses ataques em dispositivos Android é a capacidade dos hackers de explorar o serviço Find Hub (antigo Find My Device), do Google, para redefinir remotamente os aparelhos das vítimas, provocando a exclusão não autorizada de dados pessoais.
A atividade foi detectada no início de setembro de 2025.
Esse episódio representa a primeira vez que o grupo utiliza funções legítimas de gerenciamento de dispositivos para realizar a redefinição remota.
Antes disso, a cadeia de ataque começava com o envio de e-mails de spear-phishing que persuadiam as vítimas a abrir anexos maliciosos.
Assim, os invasores obtêm acesso às máquinas e usam sessões ativas do aplicativo KakaoTalk para espalhar arquivos ZIP com payloads maliciosos entre os contatos das vítimas.
Os e-mails falsificados imitam entidades oficiais, como o Serviço Nacional de Impostos, para enganar os usuários e instalar trojans de acesso remoto (RATs), como o Lilith RAT, que permite controle total das máquinas comprometidas e entrega de cargas adicionais.
De acordo com o GSC, após o acesso inicial, o ator da ameaça permanece oculto por mais de um ano, espionando via webcam e operando o sistema quando o usuário está ausente.
Durante esse período, o controle total do sistema é mantido e dados confidenciais são coletados, enquanto táticas de evasão garantem a permanência prolongada sem detecção.
O malware instalado permite reconhecimento interno, monitoramento e exfiltração das credenciais dos serviços Google e Naver das vítimas.
Com as credenciais roubadas do Google, os invasores acessam o Find Hub para iniciar o wipe remoto dos dispositivos.
Em um caso, eles acessaram uma conta de e-mail de recuperação no Naver para apagar alertas de segurança do Google, além de esvaziar a lixeira, ocultando vestígios da atividade maliciosa.
O arquivo ZIP distribuído pelo aplicativo de mensagens contém um pacote Microsoft Installer (MSI) chamado "Stress Clear.msi", que utiliza uma assinatura válida emitida para uma empresa chinesa, conferindo aparente legitimidade.
Ao ser executado, um script batch faz a configuração inicial e um VBScript exibe uma mensagem falsa de erro sobre problemas com pacote de idioma, enquanto comandos maliciosos rodam em segundo plano.
Entre eles está o lançamento de um script AutoIt programado para rodar a cada minuto, buscando e executando comandos recebidos de um servidor externo ("116.202.99[.]218").
Apesar das semelhanças com o Lilith RAT, a nova variante foi nomeada EndRAT (ou EndClient RAT, segundo o pesquisador Ovi Liber), devido a diferenças observadas em seu funcionamento.
A lista de comandos suportados pelo malware inclui:
- shellStart: iniciar sessão remota de shell
- shellStop: encerrar sessão remota de shell
- refresh: enviar informações do sistema
- list: listar drives ou diretórios raiz
- goUp: subir um nível no diretório
- download: exfiltrar arquivos
- upload: receber arquivos
- run: executar programa no host
- delete: apagar arquivos no host
O Genians também relatou que o Konni APT tem usado um script AutoIt para lançar a versão 7.0.4 do Remcos RAT, liberada em 10 de setembro de 2025 pelos mantenedores Breaking Security, indicando o uso ativo de versões atualizadas do trojan.
Foram detectados ainda Quasar RAT e RftRAT em dispositivos comprometidos, malwares anteriormente usados pelo Kimsuky em 2023.
Segundo a empresa sul-coreana, "essa combinação reforça a ideia de que o malware é direcionado a operações focadas na Coreia e que a obtenção de dados relevantes exige análise aprofundada e esforço intenso."
### Variante Atualizada do Comebacker do Lazarus Group
Na mesma semana, a ENKI divulgou detalhes sobre o uso de uma nova versão do malware Comebacker pelo Lazarus Group em ataques contra organizações aeroespaciais e de defesa.
Os cibercriminosos utilizam documentos Microsoft Word direcionados como iscas, simulando entidades como Airbus, Edge Group e Instituto Indiano de Tecnologia Kanpur.
O ataque começa quando a vítima abre o arquivo e habilita macros, executando o código VBA que exibe um documento falso e carrega o componente responsável por executar o Comebacker na memória.
O malware se comunica via HTTPS com um servidor de comando e controle (C2) e permanece em loop aguardando comandos ou o download de payloads criptografados.
Para a ENKI, o uso de documentos muito específicos reforça que a campanha é um spear phishing altamente direcionado.
Apesar de não haver relatos de vítimas até o momento, a infraestrutura C2 continua ativa.
### Novo Dropper JavaScript Usado pelo Kimsuky
Outra descoberta recente envolve um dropper baseado em JavaScript usado pelo Kimsuky, mostrando a constante evolução dos métodos do ator.
O mecanismo inicial de distribuição ainda é desconhecido.
O ataque começa com um arquivo “themes.js” que conecta-se a uma infraestrutura controlada pelos hackers para baixar e executar novos códigos JavaScript.
O malware pode executar comandos, exfiltrar dados e baixar um terceiro estágio para criar uma tarefa agendada que roda o arquivo original a cada minuto, além de abrir um documento Word vazio, provavelmente para despistar.
Conforme análise do Pulsedive Threat Research, "como o documento Word está vazio e não executa macros, é provável que sirva apenas como isca."
Essas investigações reforçam a complexidade e sofisticação das campanhas de ciberespionagem e ataques avançados em andamento, exigindo atenção constante das equipes de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...