Negli ultimi mesi, il gruppo di cybercriminali Konni, legato alla Corea del Nord, ha intensificato le proprie attività contro dispositivi Android e Windows utilizzando tecniche sempre più sofisticate. Questi attacchi sono caratterizzati da campagne di phishing mirate, in cui i criminali si fingono consulenti psicologici o attivisti per i diritti umani nordcoreani, diffondendo malware camuffato da applicazioni per la gestione dello stress. La novità più preoccupante di queste campagne è la capacità di sfruttare funzionalità legittime di Google, come Find Hub (ex Trova il mio dispositivo), trasformandole in vere e proprie armi digitali per il reset remoto e la cancellazione dei dati sui dispositivi delle vittime.

Dopo aver compromesso un computer tramite e-mail di spear phishing che imitano enti affidabili come il servizio fiscale nazionale, gli attaccanti ottengono l’accesso a sessioni di chat KakaoTalk e diffondono ulteriori payload malevoli tramite archivi ZIP. All’interno di questi archivi si trovano installer MSI firmati apparentemente da aziende cinesi, che avviano script malevoli in background mascherati da errori di compatibilità.

Una volta installato, il malware permette il controllo remoto del sistema, l’esecuzione di script aggiuntivi tramite AutoIt e la raccolta di credenziali Google e Naver. Con queste informazioni, i criminali riescono a effettuare il login su Find Hub e a cancellare da remoto tutti i dati dei dispositivi collegati, eliminando anche e-mail di avviso di sicurezza per nascondere le tracce dell’attacco.

Strumenti avanzati e minacce correlate

Tra gli strumenti utilizzati spiccano RAT avanzati come Lilith RAT, EndRAT, Remcos RAT e Quasar RAT, che consentono non solo l’esfiltrazione di dati ma anche la persistenza sul sistema e la sorveglianza tramite webcam. Questi strumenti sono aggiornati di frequente, segno di una continua evoluzione delle capacità offensive del gruppo.

Parallelamente, altre minacce nordcoreane come Lazarus e Kimsuky stanno implementando nuove varianti di malware, spesso diffuse tramite documenti Word con macro malevole o dropper basati su JavaScript, mirati a organizzazioni dei settori difesa e aerospaziale. L’utilizzo di lure document altamente specifici conferma la natura mirata e l’alto livello di sofisticazione di queste campagne, che sfruttano infrastrutture di comando e controllo ancora attive.

Questi sviluppi mettono in luce la necessità per utenti e aziende di rafforzare la propria postura di sicurezza, aggiornando i sistemi, sensibilizzando sui rischi del phishing e adottando soluzioni di monitoraggio avanzate contro minacce sempre più evolute e persistenti.