Noord-Koreaanse dreigingsactoren, bekend als de groep Konni, maken gebruik van spear-phishing om slachtoffers te compromitteren en toegang te verkrijgen tot de KakaoTalk-desktopapplicatie van de gebruiker. Via deze applicatie verspreiden zij vervolgens kwaadaardige payloads naar geselecteerde contacten.

Volgens een analyse van het Zuid-Koreaanse threat intelligencebedrijf Genians werd de eerste toegang verkregen via een spear-phishingmail die zich voordeed als een uitnodiging om de ontvanger aan te stellen als docent mensenrechten in Noord-Korea. Na het openen van een kwaadaardig LNK-bestand raakte het systeem geïnfecteerd met de remote access trojan (RAT) EndRAT, geschreven in AutoIt. Deze malware blijft langdurig verborgen en persistent aanwezig op het systeem, waarmee interne documenten en gevoelige informatie worden gestolen.

De aanvallers maken misbruik van de gecompromitteerde KakaoTalk-applicatie om via de contactlijst van het slachtoffer kwaadaardige ZIP-bestanden te versturen, waarmee de malware zich verder verspreidt. Dit maakt van bestaande slachtoffers tussenpersonen voor nieuwe infecties. Eerdere campagnes van Konni gebruikten eveneens KakaoTalk om malware te verspreiden en voerden daarnaast een remote wipe uit op Android-apparaten met gestolen Google-gegevens.

De aanval start met een spear-phishingmail die een ZIP-bijlage bevat met een Windows-snelkoppeling (LNK). Bij uitvoering downloadt deze een volgende payload van een externe server, stelt persistente taken in en voert de malware uit, terwijl een PDF-document als afleiding wordt getoond. Naast EndRAT werden op het geïnfecteerde systeem ook scripts gevonden die wijzen op andere RAT-families, zoals RftRAT en RemcosRAT, wat duidt op een verhoogde veerkracht van de aanval.

Genians beschouwt deze campagne als een meerfasige operatie die verder gaat dan alleen spear-phishing, met langdurige aanwezigheid, diefstal van informatie en verspreiding via gecompromitteerde accounts. De aanvallers selecteren specifieke contacten uit de vriendenlijst van het slachtoffer en sturen hen kwaadaardige bestanden met misleidende bestandsnamen die Noord-Korea-gerelateerde inhoud suggereren om ontvangers te verleiden tot openen.