Konni utiliza EndRAT en campañas de phishing para robar información
Publicado el
Introducción
El grupo de ciberamenazas norcoreano, conocido como Konni, ha sido identificado como responsable de una serie de ataques de phishing destinados a comprometer sistemas y robar información valiosa. Recientemente, se ha observado que utilizan el malware EndRAT, un troyano de acceso remoto (RAT), para llevar a cabo sus operaciones maliciosas.
Método de ataque
Los investigadores de la empresa de inteligencia de amenazas surcoreana Genians han documentado cómo Konni logra acceder a las aplicaciones de escritorio de KakaoTalk de sus víctimas. El acceso inicial se obtiene mediante un correo electrónico de spear-phishing, disfrazado como un aviso de nombramiento para dar conferencias sobre derechos humanos en Corea del Norte. Este truco engaña a los destinatarios para que abran un archivo LNK malicioso, lo que resulta en la infección del sistema.
Una vez que el archivo malicioso se ejecuta, el malware se descarga desde un servidor externo y se establece una persistencia a través de tareas programadas, lo que permite al atacante controlar el sistema infectado durante un periodo prolongado. La amenaza se oculta y roba documentos internos y datos sensibles, convirtiendo la máquina en un punto de acceso para más ataques.
Propagación del malware
Una característica preocupante de esta campaña es el uso de la aplicación KakaoTalk para propagar el malware. Konni se aprovecha de la confianza establecida entre la víctima y sus contactos, enviando archivos ZIP maliciosos bajo nombres engañosos relacionados con contenido de Corea del Norte. Esto convierte a las víctimas en intermediarios involuntarios que ayudan a la propagación del malware a otros usuarios.
Este enfoque no es nuevo para Konni, ya que en noviembre de 2025 ya se habían registrado incidentes similares. En esa ocasión, el grupo utilizó sesiones activas de KakaoTalk para enviar archivos maliciosos a los contactos de las víctimas mientras borraban remotamente los datos de sus dispositivos Android utilizando credenciales de Google robadas.
Detalles técnicos del malware
El malware EndRAT, escrito en AutoIt, permite al operador tener control total sobre el sistema comprometido. Esto incluye la gestión de archivos, acceso a una terminal remota, transferencia de datos y la capacidad de mantener la persistencia en el dispositivo infectado. El análisis de los sistemas atacados ha revelado la presencia de otros artefactos maliciosos, como scripts de AutoIt asociados con otros RATs como RftRAT y Remcos RAT. Esto sugiere que los atacantes consideran valiosas a sus víctimas, lo que justifica el uso de múltiples herramientas de ataque para mejorar la resiliencia.
Conclusiones
Genians ha evaluado esta campaña como una operación de ataque en múltiples fases, que no se limita al phishing. Combina la persistencia a largo plazo, el robo de información y la redistribución basada en cuentas. La selección cuidadosa de los contactos de la lista de amigos de la víctima para enviar archivos maliciosos resalta la sofisticación de esta técnica de ataque.
Este tipo de incidentes subraya la importancia de educar a los usuarios sobre los riesgos del phishing y la necesidad de implementar medidas de seguridad robustas para proteger las redes y la información sensible frente a ataques de esta naturaleza.