O ator de ameaças vinculado à Coreia do Norte, conhecido como Konni APT, foi identificado como responsável por uma campanha de phishing direcionada a entidades governamentais na Ucrânia, indicando que o ator de ameaças está expandindo seus alvos para além da Rússia.
A empresa de segurança empresarial Proofpoint afirmou que o objetivo final da campanha é coletar informações sobre a "trajetória da invasão russa."
"O interesse do grupo na Ucrânia segue o histórico de direcionamento de entidades governamentais na Rússia com propósitos de coleta de inteligência estratégica," disseram os pesquisadores de segurança Greg Lesnewich, Saher Naumaan e Mark Kelly em um relatório compartilhado com a imprensa.
Konni APT, também conhecido como Opal Sleet, Osmium, TA406 e Vedalia, é um grupo de espionagem cibernética que tem um histórico de direcionamento a entidades na Coreia do Sul, nos Estados Unidos e na Rússia.
Está operacional desde pelo menos 2014.
As cadeias de ataque montadas pelo ator de ameaças muitas vezes envolvem o uso de e-mails de phishing para distribuir malware chamado Konni RAT (também conhecido como UpDog) e redirecionar os destinatários para páginas de coleta de credenciais.
A Proofpoint, em uma análise do grupo de ameaças publicada em novembro de 2021, avaliou TA406 como um dos vários atores que compõem a atividade publicamente rastreada como Kimsuky, Thallium e Konni Group.
O conjunto mais recente de ataques documentados pela empresa de cibersegurança envolve o uso de e-mails de phishing que se passam por um falso membro sênior de um think tank chamado Royal Institute of Strategic Studies, que também é uma organização inexistente.
As mensagens de e-mail contêm um link para um arquivo RAR protegido por senha hospedado no serviço de nuvem MEGA.
Abrir o arquivo RAR usando uma senha mencionada no corpo da mensagem inicia uma sequência de infecção projetada para realizar uma extensa exploração das máquinas comprometidas.
Especificamente, dentro do arquivo RAR há um arquivo CHM que exibe conteúdo de isca relacionado ao ex-líder militar ucraniano Valeriy Zaluzhnyi.
Se a vítima clicar em qualquer lugar da página, um comando PowerShell embutido no HTML é executado para se conectar a um servidor externo e baixar um payload PowerShell de próxima etapa.
O novo script PowerShell é capaz de executar vários comandos para coletar informações sobre o sistema, codificá-lo usando Base64 e enviá-lo ao mesmo servidor.
"O ator enviou múltiplos e-mails de phishing em dias consecutivos quando o alvo não clicou no link, perguntando ao alvo se ele recebeu os e-mails anteriores e se ele baixaria os arquivos," disseram os pesquisadores.
A Proofpoint também observou um arquivo HTML sendo distribuído diretamente como um anexo nas mensagens de phishing.
Nesta variação do ataque, a vítima é instruída a clicar em um link embutido no arquivo HTML, resultando no download de um arquivo ZIP que inclui um PDF benigno e um arquivo de atalho do Windows (LNK).
Quando o LNK é executado, ele executa PowerShell codificado em Base64 para soltar um arquivo chamado "Themes.jse" codificado em Javascript usando um Script Visual Basic.
O malware JSE, por sua vez, contata uma URL controlada pelo atacante e executa a resposta do servidor via PowerShell.
A natureza exata do payload atualmente não é conhecida.
Além disso, TA406 foi flagrado tentando coletar credenciais enviando falsas mensagens de alerta de segurança da Microsoft para entidades governamentais ucranianas a partir de contas ProtonMail, alertando-as sobre atividades de login suspeitas de endereços IP localizados nos Estados Unidos e instando-as a verificar o login visitando um link.
Embora a página de coleta de credenciais não tenha sido recuperada, o mesmo domínio comprometido teria sido usado no passado para coletar informações de login do Naver.
"Essas campanhas de coleta de credenciais ocorreram antes das tentativas de implantação de malware e visaram alguns dos mesmos usuários posteriormente direcionados com a campanha de entrega via HTML," disse a Proofpoint.
TA406 está muito provavelmente coletando inteligência para ajudar a liderança norte-coreana a determinar o risco atual para suas forças já em teatro, bem como a probabilidade de que a Rússia solicitará mais tropas ou armamentos.
"Diferente dos grupos russos, que provavelmente foram encarregados de coletar informações táticas de campo de batalha e de direcionamento das forças ucranianas in situ, TA406 tem se concentrado tipicamente em esforços mais estratégicos de coleta de inteligência política."
A divulgação ocorre enquanto o grupo Konni foi vinculado a uma sofisticada campanha de malware multi-estágio visando entidades na Coreia do Sul com arquivos ZIP contendo arquivos LNK, que executam scripts PowerShell para extrair um arquivo CAB e, finalmente, entregar malware de script em lote capaz de coletar dados sensíveis e exfiltrá-los para um servidor remoto.
Os achados também se alinham com campanhas de spear-phishing orquestradas por Kimsuky para visar agências governamentais na Coreia do Sul entregando um malware stealer capaz de estabelecer comunicações de comando e controle (C2 ou C&C) e exfiltrar arquivos, dados de navegadores web e informações de carteiras de criptomoedas.
De acordo com a empresa de cibersegurança sul-coreana AhnLab, Kimsuky também foi observado propagando PEBBLEDASH como parte de uma sequência de infecção multi-estágio iniciada via spear-phishing.
O trojan foi atribuído pelo governo dos EUA ao Grupo Lazarus em maio de 2020.
"Enquanto o grupo Kimsuky usa vários tipos de malware, no caso do PEBBLEDASH, eles executam malware baseado em um arquivo LNK por spear-phishing na fase de acesso inicial para lançar seus ataques," disse.
Eles então utilizam um script PowerShell para criar um agendador de tarefas e registrá-lo para execução automática.
Por meio de comunicação com um servidor C&C baseado em Dropbox e socket TCP, o grupo instala vários malwares e ferramentas incluindo PEBBLEDASH.
Konni e Kimsuky estão longe de ser os únicos atores de ameaças norte-coreanos focados em Seul.
Tão recentemente quanto março de 2025, entidades sul-coreanas foram encontradas sendo alvo de outra campanha realizada pelo APT37, que também é referido como ScarCruft.
Apelidada de Operação ToyBox Story, os ataques de spear-phishing visaram vários ativistas focados na Coreia do Norte, segundo o Genians Security Center (GSC).
O primeiro ataque de spear phishing observado ocorreu em 8 de março de 2025.
"O e-mail continha um link do Dropbox levando a um arquivo compactado que incluía um arquivo de atalho malicioso (LNK)," disse a empresa sul-coreana.
Quando extraído e executado, o arquivo LNK ativou malware adicional contendo a palavra-chave 'toy.'
Os arquivos LNK são configurados para lançar um arquivo HWP de isca e executar comandos PowerShell, levando à execução dos arquivos nomeados toy03.bat, toy02.bat e toy01.bat (nessa ordem), o último dos quais contém shellcode para lançar RoKRAT, um malware associado ao APT37.
RokRAT está equipado para coletar informações do sistema, capturar screenshots e usar três diferentes serviços de nuvem, incluindo pCloud, Yandex e Dropbox para C2.
"Os atores de ameaças exploraram serviços de nuvem legítimos como infraestrutura C2 e continuaram a modificar arquivos de atalho (LNK) enquanto se concentravam em técnicas de ataque sem arquivo para evadir a detecção por software antivírus instalado nos endpoints alvo," disse a Genians.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...