El actor de amenazas afiliado a Corea del Ártico conocido como connie (además conocido como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia) se ha atribuido a un nuevo conjunto de ataques dirigidos a dispositivos Android y Windows para el robo de datos y el control remoto.
“Los atacantes se hicieron sobrevenir por consejeros psicológicos y activistas norcoreanos de derechos humanos, distribuyendo malware disfrazado de programas para aliviar el estrés”, afirmó el Centro de Seguridad Genians (GSC) en un mensaje técnico.
Lo que es trascendente de los ataques dirigidos a dispositivos Android es además la capacidad destructiva de los actores de amenazas para explotar los servicios de seguimiento de activos de Google Find Hub (anteriormente Find My Device) para restablecer de forma remota los dispositivos de las víctimas, lo que lleva a la exterminio no autorizada de datos personales. La actividad se detectó a principios de septiembre de 2025.
Este incremento marca la primera vez que el categoría de piratas informáticos utiliza funciones de empresa legítimas como arsenal para restablecer de forma remota los dispositivos móviles. La actividad además está precedida por una esclavitud de ataque en la que los atacantes se acercan a los objetivos a través de correos electrónicos de phishing para obtener ataque a sus computadoras y aprovechan sus sesiones iniciadas en la aplicación de chat KakaoTalk para distribuir las cargas maliciosas a sus contactos en forma de un archivo ZIP.
Se dice que los correos electrónicos de phishing imitan a entidades legítimas como el Servicio Franquista de Impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos y entreguen troyanos de ataque remoto como Lilith RAT, que pueden controlar de forma remota las máquinas comprometidas y entregar cargas enseres adicionales.
 |
| Flujo de ataque de Konni |
“El atacante permaneció oculto en la computadora comprometida durante más de un año, espiando a través de la cámara web y operando el sistema cuando el adjudicatario estaba carente”, señaló GSC. “En este proceso, el ataque obtenido durante la intrusión auténtico permite el control del sistema y la compendio de información adicional, mientras que las tácticas de distracción permiten el ocultamiento a dispendioso plazo”.
El malware implementado en la computadora de la víctima permite a los actores de amenazas soportar a angla registro y monitoreo internos, así como extraer las credenciales de las cuentas de Google y Naver de las víctimas. Las credenciales de Google robadas se utilizan luego para iniciar sesión en Find Hub de Google e iniciar un borrado remoto de sus dispositivos.
En un caso, se descubrió que los atacantes iniciaban sesión en una cuenta de correo electrónico de recuperación registrada en Naver, eliminaban correos electrónicos de alerta de seguridad de Google y vaciaban la carpeta de basura de la bandeja de entrada para ocultar rastros de la nefasta actividad.
El archivo ZIP propagado a través de la aplicación de transporte contiene un paquete ladino Microsoft Installer (MSI) (“Stress Clear.msi”), que abusa de una firma válida emitida a una empresa china para dar a la aplicación una ilusión de legalidad. Una vez iniciado, invoca un script por lotes para realizar la configuración auténtico y procede a ejecutar un script de Visual Basic (VB Script) que muestra un mensaje de error impostor sobre un problema de compatibilidad del paquete de idioma, mientras los comandos maliciosos se ejecutan en segundo plano.
Esto incluye iniciar un script AutoIt que está configurado para ejecutarse cada minuto mediante una tarea programada para ejecutar comandos adicionales recibidos de un servidor foráneo (“116.202.99(.)218”). Si proporcionadamente el malware comparte algunas similitudes con Lilith RAT, se le ha denominado EndRAT (además conocido como EndClient RAT por el investigador de seguridad Ovi Liber) correcto a las diferencias observadas.
La directorio de comandos admitidos es la sucesivo:
- shellIniciopara iniciar una sesión de shell remota
- shellpararpara detener el shell remoto
- refrescarpara cursar información del sistema
- directoriopara enumerar unidades o directorio raíz
- subirpara subir un directorio
- descargarpara extraer un archivo
- subirpara aceptar un archivo
- valerpara ejecutar un software en el host
- borrarpara eliminar un archivo en el host
Genians dijo que los actores de Konni APT además utilizaron un script AutoIt para exhalar Remcos RAT lectura 7.0.4, que fue lanzazo por sus mantenedores, Breaking Security, el 10 de septiembre de 2025, lo que indica que el adversario está utilizando activamente versiones más nuevas del troyano en sus ataques. Incluso se observan en los dispositivos de las víctimas Radiofuente RAT y RftRAT, otro troyano que Kimsuky utilizó anteriormente en 2023.
“Esto sugiere que el malware está diseñado para operaciones centradas en Corea y que obtener datos relevantes y realizar estudio en profundidad requiere un esfuerzo sustancial”, dijo la compañía de ciberseguridad de Corea del Sur.
Se detalla la nueva variación Comebacker de Lazarus Group
La divulgación se produce cuando ENKI detalló el uso por parte del Agrupación Lazarus de una lectura actualizada del malware Comebacker en ataques dirigidos a organizaciones aeroespaciales y de defensa utilizando documentos de Microsoft Word personalizados consistentes con una campaña de espionaje. Los señuelos se hacen sobrevenir por Airbus, Edge Group y el Instituto Indio de Tecnología de Kanpur.
La esclavitud de infección comienza cuando las víctimas abren el archivo y habilitan las macros, lo que hace que el código VBA incrustado se ejecute y entregue un documento señuelo que se muestra al adjudicatario, adjunto con un componente del cargador que es responsable de iniciar Comebacker en la memoria.
El malware, por su parte, establece comunicación con un servidor de comando y control (C2) a través de HTTPS y entra en un caracolillo para agenciárselas nuevos comandos o descargar una carga útil cifrada y ejecutarla.
“El uso por parte del actor de documentos señuelo en extremo específicos indica que se proxenetismo de una campaña de phishing dirigida”, dijo ENKI en un mensaje técnico. “Aunque hasta el momento no hay informes de víctimas, la infraestructura C2 permanece activa al momento de esta publicación”.
Kimsuky utiliza un nuevo cuentagotas de JavaScript
Los hallazgos además coinciden con el descubrimiento de un nuevo dropper de malware basado en JavaScript que ha sido empleado por Kimsuky en sus operaciones recientes, lo que demuestra el continuo perfeccionamiento de su conjunto de malware por parte del actor. Actualmente se desconoce el mecanismo de ataque auténtico mediante el cual se distribuye el malware JavaScript.
 |
| Flujo de dosificador de JavaScript de Kimsuky |
El punto de partida del ataque es un archivo JavaScript auténtico (“themes.js”) que contacta una infraestructura controlada por el adversario para obtener más código JavaScript que sea capaz de ejecutar comandos, filtrar datos y recuperar una carga útil de JavaScript de tercera etapa para crear una tarea programada para iniciar el primer archivo JavaScript cada minuto y exhalar un documento de Word hueco, probablemente como señuelo.
“Regalado que el documento de Word está hueco y no ejecuta ninguna macro en segundo plano, puede ser un señuelo”, dijo Pulsedive Threat Research en un estudio publicado la semana pasada.
