El actor de amenazas afiliado a Corea del Norte conocido como connie (también conocido como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia) se ha atribuido a un nuevo conjunto de ataques dirigidos a dispositivos Android y Windows para el robo de datos y el control remoto.
«Los atacantes se hicieron pasar por consejeros psicológicos y activistas norcoreanos de derechos humanos, distribuyendo malware disfrazado de programas para aliviar el estrés», afirmó el Centro de Seguridad Genians (GSC) en un informe técnico.
Lo que es notable de los ataques dirigidos a dispositivos Android es también la capacidad destructiva de los actores de amenazas para explotar los servicios de seguimiento de activos de Google Find Hub (anteriormente Find My Device) para restablecer de forma remota los dispositivos de las víctimas, lo que lleva a la eliminación no autorizada de datos personales. La actividad se detectó a principios de septiembre de 2025.
Este desarrollo marca la primera vez que el grupo de piratas informáticos utiliza funciones de administración legítimas como arma para restablecer de forma remota los dispositivos móviles. La actividad también está precedida por una cadena de ataque en la que los atacantes se acercan a los objetivos a través de correos electrónicos de phishing para obtener acceso a sus computadoras y aprovechan sus sesiones iniciadas en la aplicación de chat KakaoTalk para distribuir las cargas maliciosas a sus contactos en forma de un archivo ZIP.
Se dice que los correos electrónicos de phishing imitan a entidades legítimas como el Servicio Nacional de Impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos y entreguen troyanos de acceso remoto como Lilith RAT, que pueden controlar de forma remota las máquinas comprometidas y entregar cargas útiles adicionales.
 |
| Flujo de ataque de Konni |
«El atacante permaneció oculto en la computadora comprometida durante más de un año, espiando a través de la cámara web y operando el sistema cuando el usuario estaba ausente», señaló GSC. «En este proceso, el acceso obtenido durante la intrusión inicial permite el control del sistema y la recopilación de información adicional, mientras que las tácticas de evasión permiten el ocultamiento a largo plazo».
El malware implementado en la computadora de la víctima permite a los actores de amenazas llevar a cabo reconocimiento y monitoreo internos, así como extraer las credenciales de las cuentas de Google y Naver de las víctimas. Las credenciales de Google robadas se utilizan luego para iniciar sesión en Find Hub de Google e iniciar un borrado remoto de sus dispositivos.
En un caso, se descubrió que los atacantes iniciaban sesión en una cuenta de correo electrónico de recuperación registrada en Naver, eliminaban correos electrónicos de alerta de seguridad de Google y vaciaban la carpeta de basura de la bandeja de entrada para ocultar rastros de la nefasta actividad.
El archivo ZIP propagado a través de la aplicación de mensajería contiene un paquete malicioso Microsoft Installer (MSI) («Stress Clear.msi»), que abusa de una firma válida emitida a una empresa china para dar a la aplicación una ilusión de legitimidad. Una vez iniciado, invoca un script por lotes para realizar la configuración inicial y procede a ejecutar un script de Visual Basic (VB Script) que muestra un mensaje de error falso sobre un problema de compatibilidad del paquete de idioma, mientras los comandos maliciosos se ejecutan en segundo plano.
Esto incluye iniciar un script AutoIt que está configurado para ejecutarse cada minuto mediante una tarea programada para ejecutar comandos adicionales recibidos de un servidor externo («116.202.99(.)218»). Si bien el malware comparte algunas similitudes con Lilith RAT, se le ha denominado EndRAT (también conocido como EndClient RAT por el investigador de seguridad Ovi Liber) debido a las diferencias observadas.
La lista de comandos admitidos es la siguiente:
- shellIniciopara iniciar una sesión de shell remota
- shellpararpara detener el shell remoto
- refrescarpara enviar información del sistema
- listapara enumerar unidades o directorio raíz
- subirpara subir un directorio
- descargarpara extraer un archivo
- subirpara recibir un archivo
- correrpara ejecutar un programa en el host
- borrarpara eliminar un archivo en el host
Genians dijo que los actores de Konni APT también utilizaron un script AutoIt para lanzar Remcos RAT versión 7.0.4, que fue lanzada por sus mantenedores, Breaking Security, el 10 de septiembre de 2025, lo que indica que el adversario está utilizando activamente versiones más nuevas del troyano en sus ataques. También se observan en los dispositivos de las víctimas Quasar RAT y RftRAT, otro troyano que Kimsuky utilizó anteriormente en 2023.
«Esto sugiere que el malware está diseñado para operaciones centradas en Corea y que obtener datos relevantes y realizar análisis en profundidad requiere un esfuerzo sustancial», dijo la compañía de ciberseguridad de Corea del Sur.
Se detalla la nueva variante Comebacker de Lazarus Group
La divulgación se produce cuando ENKI detalló el uso por parte del Grupo Lazarus de una versión actualizada del malware Comebacker en ataques dirigidos a organizaciones aeroespaciales y de defensa utilizando documentos de Microsoft Word personalizados consistentes con una campaña de espionaje. Los señuelos se hacen pasar por Airbus, Edge Group y el Instituto Indio de Tecnología de Kanpur.
La cadena de infección comienza cuando las víctimas abren el archivo y habilitan las macros, lo que hace que el código VBA incrustado se ejecute y entregue un documento señuelo que se muestra al usuario, junto con un componente del cargador que es responsable de iniciar Comebacker en la memoria.
El malware, por su parte, establece comunicación con un servidor de comando y control (C2) a través de HTTPS y entra en un bucle para buscar nuevos comandos o descargar una carga útil cifrada y ejecutarla.
«El uso por parte del actor de documentos señuelo altamente específicos indica que se trata de una campaña de phishing dirigida», dijo ENKI en un informe técnico. «Aunque hasta el momento no hay informes de víctimas, la infraestructura C2 permanece activa al momento de esta publicación».
Kimsuky utiliza un nuevo cuentagotas de JavaScript
Los hallazgos también coinciden con el descubrimiento de un nuevo dropper de malware basado en JavaScript que ha sido empleado por Kimsuky en sus operaciones recientes, lo que demuestra el continuo perfeccionamiento de su arsenal de malware por parte del actor. Actualmente se desconoce el mecanismo de acceso inicial mediante el cual se distribuye el malware JavaScript.
 |
| Flujo de gotero de JavaScript de Kimsuky |
El punto de partida del ataque es un archivo JavaScript inicial («themes.js») que contacta una infraestructura controlada por el adversario para obtener más código JavaScript que sea capaz de ejecutar comandos, filtrar datos y recuperar una carga útil de JavaScript de tercera etapa para crear una tarea programada para iniciar el primer archivo JavaScript cada minuto y lanzar un documento de Word vacío, probablemente como señuelo.
«Dado que el documento de Word está vacío y no ejecuta ninguna macro en segundo plano, puede ser un señuelo», dijo Pulsedive Threat Research en un análisis publicado la semana pasada.