عامل تهدید کرهشمالی تحت عنوان Konni (با نامهای Earth Imp، Opal Sleet، Osmium، TA406 و Vedalia نیز شناخته میشود)، به مجموعهای جدید از حملات نسبت داده شده است که دستگاههای اندروید و ویندوز را برای سرقت دادهها و کنترل از راه دور هدف قرار میدهد.
هکرهای کره شمالی از ابزار Find Hub گوگل (Find My Device سابق) برای ردیابی موقعیت GPS اهداف خود و تنظیم مجدد از راه دور دستگاههای اندروید به تنظیمات کارخانه سوءاستفاده میکنند. این حملات در درجه اول کره جنوبی را هدف قرار میدهند و با نزدیک شدن به قربانیان بالقوه از طریق پیامرسان محبوب KakaoTalk شروع میکنند. Genians، شرکت راهکارهای امنیت سایبری کره جنوبی، فعالیت مخرب را به گروه فعالیت KONNI مرتبط دانست که “اهداف و زیرساختهای همپوشانی با Kimsuky و APT37 دارد. KONNI معمولاً به ابزار دسترسی از راه دور اشاره دارد که با حملات هکرهای کره شمالی در گروههای APT37 (ScarCruft) و Kimsuky (Emerald Sleet) که بخشهای مختلفی (مانند آموزش، دولت و رمز ارز) را هدف قرار دادهاند، مرتبط بوده است. طبق گفته Genians، کمپین KONNI کامپیوترها را با تروجانهای دسترسی از راه دور آلوده میکند که امکان استخراج دادههای حساس را فراهم میکنند. مهاجمان با جا زدن خود به عنوان مشاوران روانشناسی و فعالان حقوق بشر کره شمالی، بدافزارهایی را در پوشش برنامههای کاهش استرس توزیع کردهاند.
این اولین باری است که گروه هکری Konni از توابع مدیریتی قانونی جهت تنظیم مجدد دستگاههای تلفن همراه از راه دور استفاده میکند. فعالیت مذکور همچنین با یک زنجیره حمله همراه است که در آن مهاجمان از طریق ایمیلهای فیشینگ هدفمند به اهداف نزدیک میشوند تا با دسترسی رایانههای آنها، از نشستهای برنامه چت KakaoTalk وارد شده آنها برای توزیع پیلودهای مخرب به مخاطبان خود در قالب آرشیو ZIP استفاده میکنند. ایمیلهای فیشینگ هدفمند با تقلید از نهادهای قانونی مانند سرویس مالیات ملی، گیرندگان را برای باز کردن پیوستهای مخرب فریب دهند تا تروجان دسترسی از راه دور مانند Lilith RAT را ارائه دهند که میتوانند از راه دور دستگاههای آسیبپذیر را کنترل کرده و پیلودهای اضافی را تحویل دهند. این بدافزار شباهتهایی با Lilith RAT دارد اما به دلیل تفاوتهای مشاهده شده، EndRAT (با نام مستعار EndClient RAT توسط محقق امنیتی Ovi Liber) نامگذاری شده است.
گفتنی است که پیلودهای ثانویه بازیابی شده توسط این اسکریپت نیز شامل RemcosRAT، QuasarRAT و RftRAT هستند. این افشاگری در حالی صورت میگیرد که ENKI جزئیات استفاده گروه Lazarus از نسخه بهروز شده بدافزار Comebacker را در حملاتی که سازمانهای هوافضا و دفاعی را با استفاده از فریبهای مایکروسافت ورد سفارشی مطابق با یک کمپین جاسوسی هدف قرار میدهند، شرح داد. زنجیره آلودگی زمانی شروع میشود که قربانیان فایل را باز کرده و ماکروها را فعال میکنند و باعث میشوند کد VBA جاسازی شده اجرا شود و یک سند جعلی را که به کاربر نمایش داده میشود، همراه با یک مؤلفه بارگذاری که مسئول راهاندازی Comebacker در حافظه است، ارائه دهد.
https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/
https://thehackernews.com/2025/11/konni-hackers-turn-googles-find-hub.html
