Северокорейская хакерская группировка Konni, также известная как Earth Imp, Opal Sleet, Osmium, TA406 и Vedalia, разработала и применила новый метод атак, нацеленный на устройства под управлением Windows и Android. Согласно отчету Genians Security Center (GSC), опубликованному в начале сентября 2025 года, ключевой особенностью кампании стало использование сервиса Google Find Hub (ранее известного как Find My Device) для принудительного сброса Android-устройств к заводским настройкам, что приводит к полному уничтожению всех данных жертвы.
Атака начинается с этапа социальной инженерии, нацеленного на пользователей Windows. Злоумышленники рассылают фишинговые письма, маскируясь под Национальную налоговую службу, психологов-консультантов или правозащитников, занимающихся проблемами Северной Кореи. Вредоносные вложения в этих письмах доставляют на компьютер жертвы трояны удаленного доступа (RAT), такие как Lilith RAT.
После успешного заражения операторы Konni могут скрытно действовать в скомпрометированной системе более года. За это время они осуществляют шпионаж через веб-камеру, получают полный контроль над компьютером и собирают конфиденциальную информацию. Главной целью на этом этапе является кража учетных данных от аккаунтов Google и корейского сервиса Naver.
Дальнейшее распространение атаки происходит через мобильные устройства. Используя доступ к активной сессии мессенджера KakaoTalk на зараженном компьютере, хакеры рассылают контактам жертвы ZIP-архив, содержащий вредоносный файл "Stress Clear.msi". Этот установщик использует действительную цифровую подпись, выданную китайской компании, для обхода систем безопасности.
После запуска "Stress Clear.msi" на экране появляется фальшивое сообщение об ошибке, созданное с помощью Visual Basic Script, которое информирует о «проблеме совместимости языкового пакета». В это же время в системе создается запланированная задача, которая каждую минуту запускает скрипт AutoIt, обеспечивая скрытую работу вредоносного ПО. В ходе этой атаки были задействованы трояны Quasar RAT и EndRAT, последний также известен как EndClient RAT по классификации исследователя безопасности Ови Либера. Примечательно, что Konni также использовала RftRAT, который ранее применялся группировкой Kimsuky в 2023 году.
Получив учетные данные Google, злоумышленники входят в сервис Find Hub и активируют функцию удаленного сброса настроек, что полностью очищает подключенное Android-устройство жертвы. Для сокрытия следов хакеры заходят в почтовый ящик Naver, который часто используется для восстановления доступа, удаляют письма с предупреждениями безопасности от Google, а затем очищают папку «Корзина». Установлено, что командно-контрольный сервер (C2), использовавшийся в этой кампании, имел IP-адрес
Параллельно с активностью Konni, другая северокорейская группировка Lazarus Group, по данным компании ENKI, проводит шпионскую кампанию против организаций в аэрокосмической и оборонной отраслях. Атакующие используют обновленную версию своего вредоносного ПО Comebacker. В качестве приманки рассылаются тщательно подготовленные документы Microsoft Word, имитирующие переписку с такими компаниями, как Airbus, Edge Group и Индийский технологический институт в Канпуре.
После того как жертва открывает документ и активирует макросы, встроенный VBA-код отображает легитимный документ-приманку, одновременно запуская в памяти системы вредоносный загрузчик Comebacker. Этот загрузчик устанавливает соединение с командным сервером по протоколу HTTPS для получения дальнейших инструкций и загрузки зашифрованных модулей. На текущий момент инфраструктура C2-серверов Lazarus Group остается активной.
Группировка Kimsuky также продолжает совершенствовать свои инструменты. Исследователи из Pulsedive Threat Research зафиксировали использование нового многоступенчатого загрузчика вредоносных программ, написанного на JavaScript. Точный метод первоначального заражения пока не установлен, однако известно, что атака начинается с выполнения файла "themes.js".
Этот скрипт связывается с командным сервером для загрузки второго JavaScript-компонента, который способен выполнять команды и похищать данные с зараженного устройства. Третий этап атаки заключается в загрузке еще одного скрипта, который обеспечивает постоянное присутствие в системе путем создания запланированной задачи. Эта задача каждую минуту перезапускает первоначальный файл "themes.js". В качестве отвлекающего маневра на экране жертвы открывается пустой документ Microsoft Word, не содержащий макросов.
Изображение носит иллюстративный характер
Атака начинается с этапа социальной инженерии, нацеленного на пользователей Windows. Злоумышленники рассылают фишинговые письма, маскируясь под Национальную налоговую службу, психологов-консультантов или правозащитников, занимающихся проблемами Северной Кореи. Вредоносные вложения в этих письмах доставляют на компьютер жертвы трояны удаленного доступа (RAT), такие как Lilith RAT.
После успешного заражения операторы Konni могут скрытно действовать в скомпрометированной системе более года. За это время они осуществляют шпионаж через веб-камеру, получают полный контроль над компьютером и собирают конфиденциальную информацию. Главной целью на этом этапе является кража учетных данных от аккаунтов Google и корейского сервиса Naver.
Дальнейшее распространение атаки происходит через мобильные устройства. Используя доступ к активной сессии мессенджера KakaoTalk на зараженном компьютере, хакеры рассылают контактам жертвы ZIP-архив, содержащий вредоносный файл "Stress Clear.msi". Этот установщик использует действительную цифровую подпись, выданную китайской компании, для обхода систем безопасности.
После запуска "Stress Clear.msi" на экране появляется фальшивое сообщение об ошибке, созданное с помощью Visual Basic Script, которое информирует о «проблеме совместимости языкового пакета». В это же время в системе создается запланированная задача, которая каждую минуту запускает скрипт AutoIt, обеспечивая скрытую работу вредоносного ПО. В ходе этой атаки были задействованы трояны Quasar RAT и EndRAT, последний также известен как EndClient RAT по классификации исследователя безопасности Ови Либера. Примечательно, что Konni также использовала RftRAT, который ранее применялся группировкой Kimsuky в 2023 году.
Получив учетные данные Google, злоумышленники входят в сервис Find Hub и активируют функцию удаленного сброса настроек, что полностью очищает подключенное Android-устройство жертвы. Для сокрытия следов хакеры заходят в почтовый ящик Naver, который часто используется для восстановления доступа, удаляют письма с предупреждениями безопасности от Google, а затем очищают папку «Корзина». Установлено, что командно-контрольный сервер (C2), использовавшийся в этой кампании, имел IP-адрес
116.202.99[.]218. Отдельно отмечается, что 10 сентября 2025 года группа разработчиков Breaking Security выпустила версию 0.4 одного из задействованных троянов. Параллельно с активностью Konni, другая северокорейская группировка Lazarus Group, по данным компании ENKI, проводит шпионскую кампанию против организаций в аэрокосмической и оборонной отраслях. Атакующие используют обновленную версию своего вредоносного ПО Comebacker. В качестве приманки рассылаются тщательно подготовленные документы Microsoft Word, имитирующие переписку с такими компаниями, как Airbus, Edge Group и Индийский технологический институт в Канпуре.
После того как жертва открывает документ и активирует макросы, встроенный VBA-код отображает легитимный документ-приманку, одновременно запуская в памяти системы вредоносный загрузчик Comebacker. Этот загрузчик устанавливает соединение с командным сервером по протоколу HTTPS для получения дальнейших инструкций и загрузки зашифрованных модулей. На текущий момент инфраструктура C2-серверов Lazarus Group остается активной.
Группировка Kimsuky также продолжает совершенствовать свои инструменты. Исследователи из Pulsedive Threat Research зафиксировали использование нового многоступенчатого загрузчика вредоносных программ, написанного на JavaScript. Точный метод первоначального заражения пока не установлен, однако известно, что атака начинается с выполнения файла "themes.js".
Этот скрипт связывается с командным сервером для загрузки второго JavaScript-компонента, который способен выполнять команды и похищать данные с зараженного устройства. Третий этап атаки заключается в загрузке еще одного скрипта, который обеспечивает постоянное присутствие в системе путем создания запланированной задачи. Эта задача каждую минуту перезапускает первоначальный файл "themes.js". В качестве отвлекающего маневра на экране жертвы открывается пустой документ Microsoft Word, не содержащий макросов.
