El actor de amenazas afiliado a Corea del Norte conocido como Konni (también conocidos como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia) se ha atribuido a una nueva serie de ataques dirigidos a dispositivos Android y Windows para robar datos y controlarlos de forma remota.

«Los atacantes se hicieron pasar por consejeros psicológicos y activistas de derechos humanos norcoreanos y distribuyeron malware disfrazado de programas para aliviar el estrés», dijo el Genians Security Center (GSC) dijo en un informe técnico.

Lo más destacable de los ataques dirigidos a dispositivos Android es también la capacidad destructiva de los actores de las amenazas para aprovechar los servicios de seguimiento de activos de Google Find Hub (anteriormente Find My Device) para restablecer de forma remota los dispositivos de las víctimas, lo que lleva a la eliminación no autorizada de datos personales. La actividad se detectó a principios de septiembre de 2025.

El desarrollo marca la primera vez que grupo de hackers ha convertido en armas funciones de administración legítimas para restablecer dispositivos móviles de forma remota. La actividad también va precedida de una cadena de ataques en la que los atacantes se acercan a los objetivos mediante correos electrónicos de suplantación de identidad para obtener acceso a sus ordenadores y aprovechan las sesiones que han iniciado sesión en la aplicación de chat KakaoTalk para distribuir la carga maliciosa entre sus contactos en forma de archivo ZIP.

Se dice que los correos electrónicos de suplantación de identidad simulan a entidades legítimas, como el Servicio Nacional de Impuestos, para engañar a los destinatarios para que abran archivos adjuntos maliciosos y entreguen troyanos de acceso remoto como Lilith RAT que pueden controlar de forma remota las máquinas comprometidas y entregar cargas útiles adicionales.

Flujo de ataque de Konni

«El autor de la amenaza permaneció oculto en la computadora comprometida durante más de un año, espiando a través de la cámara web y operando el sistema cuando el usuario estaba ausente», señaló GSC. «En este proceso, el acceso obtenido durante la intrusión inicial permite controlar el sistema y recopilar información adicional, mientras que las tácticas de evasión permiten ocultarlo a largo plazo».

El malware desplegado en la computadora de la víctima permite a los actores de la amenaza llevar a cabo un reconocimiento y un monitoreo internos, así como filtrar las credenciales de las cuentas de Google y Naver de las víctimas. Las credenciales de Google robadas se utilizan luego para iniciar sesión en el Find Hub de Google e iniciar un borrado remoto de sus dispositivos.

En un caso, se descubrió que los atacantes iniciaban sesión en una cuenta de correo electrónico de recuperación registrada con Naver, eliminaban los correos electrónicos de alerta de seguridad de Google y vaciaban la carpeta de basura de la bandeja de entrada para ocultar los rastros de la nefasta actividad.

El archivo ZIP que se propaga a través de la aplicación de mensajería contiene un paquete malicioso de Microsoft Installer (MSI) («Stress Clear.msi «), que abusa de una firma válida emitida a nombre de una empresa china para dar a la aplicación una ilusión de legitimidad. Una vez lanzado, invoca un script por lotes para realizar la configuración inicial y ejecuta un script de Visual Basic (VB Script) que muestra un mensaje de error falso sobre un problema de compatibilidad con un paquete de idioma, mientras los comandos malintencionados se ejecutan en segundo plano.

Esto incluye lanzar un script de AutoIt configurado para ejecutarse cada minuto mediante una tarea programada para ejecutar comandos adicionales recibidos de un servidor externo («116.202.99 [.] 218"). Si bien el malware tiene algunas similitudes con Lilith RAT, su nombre en código es EndRAT (también conocido como RAT de cliente final del investigador de seguridad Ovi Liber) debido a las diferencias observadas.

La lista de comandos compatibles es la siguiente:

  • Shell Start , para iniciar una sesión de shell remota
  • Shell Stop , para detener el shell remoto
  • refrescar , para enviar información del sistema
  • lista , para enumerar las unidades o el directorio raíz
  • Ir hacia arriba , para subir un directorio
  • descargar , para filtrar un archivo
  • subida , para recibir un archivo
  • correr , para ejecutar un programa en el host
  • eliminar , para eliminar un archivo del host

Genians dijo que los actores de Konni APT también utilizaron un guion de AutoIt para lanzar la versión 7.0.4 de Remcos RAT, que era publicado de sus responsables, Breaking Security, el 10 de septiembre de 2025, lo que indica que el adversario está utilizando activamente versiones más recientes del troyano en sus ataques. También se observan en los dispositivos de las víctimas Quasar RAT y RF a , otro troyano que Kimsuky utilizó anteriormente en 2023.

«Esto sugiere que el malware se adapta a las operaciones centradas en Corea y que obtener datos relevantes y realizar un análisis en profundidad requiere un esfuerzo sustancial», dijo la empresa surcoreana de ciberseguridad.

Se detalla la nueva variante Comebacker de Lazarus Group

La revelación se produce cuando ENKI detalló el Grupo Lazarus uso de una versión actualizada del malware Comebacker en ataques dirigidos a organizaciones aeroespaciales y de defensa utilizando señuelos personalizados para documentos de Microsoft Word consistentes con una campaña de espionaje. Los señuelos se hacen pasar por Airbus, Edge Group y el Instituto Indio de Tecnología de Kanpur.

La cadena de infección se inicia cuando las víctimas abren el archivo y habilitan las macros, lo que hace que el código VBA incrustado se ejecute y entregue un documento señuelo que se muestra al usuario, junto con un componente de carga que es responsable de iniciar Comebacker en la memoria.

El malware, por su parte, establece comunicación con un servidor de comando y control (C2) a través de HTTPS y entra en un bucle para buscar nuevos comandos o descargar una carga cifrada y ejecutarla.

«El uso por parte del actor de documentos de señuelos muy específicos indica que se trata de una campaña de suplantación de identidad dirigida», dijo ENKI dijo en un informe técnico. «Aunque hasta el momento no hay informes de víctimas, la infraestructura C2 permanece activa en el momento de esta publicación».

Kimsuky usa un nuevo cuentagotas de JavaScript

Los hallazgos también coinciden con el descubrimiento de un nuevo cuentagotas de malware basado en JavaScript que ha sido empleado por Kimsuky en sus operaciones recientes, lo que demuestra el continuo refinamiento de su arsenal de malware por parte del actor. Actualmente se desconoce el mecanismo de acceso inicial mediante el cual se distribuye el malware de JavaScript.

Kimsuky JavaScript Dropper Flow

El punto de partida del ataque es un archivo JavaScript inicial (» themes.js «) que contacta con una infraestructura controlada por el adversario para obtener más código JavaScript capaz de ejecutar comandos, filtrar datos y recuperar una carga útil de JavaScript de la tercera etapa para crear una tarea programada para lanzar el primer archivo JavaScript cada minuto y lanzar un documento de Word vacío, probablemente como señuelo.

«Como el documento de Word está vacío y no ejecuta ninguna macro en segundo plano, puede ser un señuelo», afirma Pulsedive Threat Research dijo en un análisis publicado la semana pasada.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.