北朝鮮のサイバースパイ組織Konniは、初期段階の多段階攻撃を組織化し、KakaoTalkメッセージング経路とともにスピアフィッシングメールを武器化して悪質なアーキテクチャを拡散させている。この複雑な策略により、デジタルの略奪者たちは被害者の計算機環境内に身を潜めるだけでなく、これらのマシンを後続の感染のための悪質なベクトルに変えることができた。
韓国企業Geniansのフォレンジック専門家らは、攻撃者が綿密に標的化された電子メールを通じて初期の防御線を突破したことを特定した。これらの通信は公式通知として巧妙に偽装され、受信者が北朝鮮の人権に関する極めて敏感なテーマの講師として任命されたと虚偽に告知していた。添付ファイル内には、悪質なWindowsショートカットアーティファクトを含むZIPアーカイブが埋め込まれていた。このファイルが実行されると、このアーキテクチャは地下サーバーから後続のコンポーネントを体系的に取得し、タスクスケジューラーを通じてその永続性を確保し、心理的なおとりとしてのみ設計された無害なPDFドキュメントを提示した。
主要ペイロードはEndRATリモートアクセストロイの木馬として現れ、AutoItスクリプティング言語で記述された悪質なアーキテクチャである。この悪質なアプリケーションは、支配下のマシンに対して完全で純粋な統制を付与し、ローカルアーカイブの操作、独立したコマンドの実行、テレメトリーのシームレスな流出を包含している。侵害されたデバイスのフォレンジック解析により、RftRATとRemcosを含む補助的な悪質なツールの幽霊のような足跡が同時に発見された。この発見は、特定の対象への深い、カスタマイズされた関心と、攻撃の堅牢性を強化するための計算された取り組みを明確に示している。
初期の侵入に続いて、デジタルの略奪者たちは長期間にわたって暗闇に潜みながら、検出されることなく内部ドキュメントと極めて機密性の高い情報を体系的に収集していた。このキャンペーンの特徴的な特異性は、侵害されたターミナル上に存在するKakaoTalkアプリケーションの悪質な悪用にある。被害者の主権的なアイデンティティを簒奪して、攻撃者は悪質なZIPアーカイブを連絡先に送信し、見込み客を手動で綿密に厳選した。これらのアーカイブの命名は、北朝鮮の地政学的劇場に結びついた真正な資料を完璧に模倣しており、この工作は実行の確率を指数関数的に増幅するために設計された。
Konniシンジケートは過去に同等の策略を行使している。2025年の終わり頃、このグループはアクティブなKakaoTalkセッションを通じて悪質なアーカイブを拡散させた。同時に、盗難されたGoogle認証情報を武器化してAndroidデバイス上のテレメトリーを遠隔で消去することを大胆に試みていた。
この現代的な作戦は、従来のフィッシングが長期間の地下での継続、データの体系的な略奪、尊重されるコミュニケーションチャネルを通じた横方向の拡散によってシームレスに増幅されるハイブリッド型の爆撃へのパラダイムシフトを明らかに照らし出している。侵害されたユーザーを知らないうちにデジタルプロキシとして徴募する冷笑的な行為は、検出アーキテクチャを深く混乱させながら、感染の運動学的到達を指数関数的に拡大させる。
翻訳元: https://meterpreter.org/konni-apt-kakaotalk-spear-phishing-endrat-malware-2026/
