Una recente campagna di cyber attacchi attribuita al gruppo Konni mostra come il phishing mirato possa trasformarsi in una catena di infezioni sfruttando la fiducia tra contatti. Gli attaccanti hanno inviato email di spear phishing con un allegato ZIP progettato per indurre la vittima ad aprire un file LNK su Windows. Il messaggio era mascherato da comunicazione credibile legata a temi sensibili, una tecnica di social engineering pensata per aumentare il tasso di apertura e di esecuzione del contenuto.

Quando il collegamento LNK viene avviato, scarica un payload di fase successiva da un server esterno. La sequenza include meccanismi di persistenza tramite operazioni pianificate, cosi il malware puo rimanere attivo a lungo sul dispositivo compromesso. In parallelo viene mostrato un documento PDF esca, utile a distrarre lutente e a ridurre la probabilita che si accorga di attivita anomale. Una volta stabilita la presenza sul sistema, gli attaccanti possono sottrarre documenti interni e informazioni sensibili, mantenendo un profilo basso.

Il componente principale osservato e EndRAT, un remote access trojan scritto in AutoIt. EndRAT consente controllo remoto del computer infetto con funzioni tipiche dei RAT moderni, come gestione dei file, accesso a shell remota, trasferimento dati e ulteriore persistenza. Un dettaglio rilevante e che in alcuni casi sono stati trovati anche altri artefatti malevoli riconducibili a famiglie RAT differenti, segnale che la vittima potrebbe essere considerata di alto valore e che gli aggressori puntano alla resilienza inserendo piu backdoor.

La parte piu insidiosa della campagna riguarda la propagazione tramite KakaoTalk su desktop. Dopo aver ottenuto accesso non autorizzato alla sessione dellapp installata sul sistema, Konni invia archivi ZIP malevoli a contatti selezionati della rubrica della vittima. In questo modo il malware non si diffonde con spam indiscriminato, ma con invii mirati che sfruttano un mittente gia conosciuto, aumentando la credibilita del messaggio e la probabilita di infezione. Di fatto, ogni vittima puo diventare un relay per colpire altri obiettivi, estendendo la portata dellattacco oltre il semplice phishing iniziale.