نسب باحثون هجمات جديدة إلى مجموعة التهديدات المرتبطة بكوريا الشمالية والمعروفة باسم Konni (المعروفة أيضاً Earth Imp, Opal Sleet, Osmium, TA406, Vedalia)، استهدفت أجهزة أندرويد وويندوز بغرض سرقة بيانات وتنفيذ تحكّم عن بُعد، مع قدرة تدميرية جديدة تستغل خدمات تتبع أصول Google المسماة Find Hub (سابقًا Find My Device) لإعادة ضبط الأجهزة عن بعد ومسح بيانات الضحايا بشكل غير مصرح به. رُصدت هذه الأنشطة في أوائل سبتمبر 2025، وفق تقرير فني نشره Genians Security Center (GSC).
أسلوب الهجوم: انتحال ونشر برمجيات خبيثة واستغلال Find Hub
قالت GSC إن “المهاجمين انتحلوا صفات مستشارين نفسيين ومدافعين عن حقوق الإنسان الكوريين الشماليين، ووزّعوا برمجيات مُقنّعة كتطبيقات لتخفيف التوتر”. لشبكة هجمات تستهل عبر رسائل تصيّد مُحدَّدة (spear-phishing) للحصول على الوصول إلى حواسب الضحايا، ثم يستغل المهاجمون جلسات دردشة KakaoTalk المسجَّلة لنشر الحمولة الخبيثة إلى جهات الاتصال بصيغة أرشيف ZIP.
تُستخدم بيانات اعتماد Google المنهوبة لتسجيل الدخول إلى Find Hub ثم إصدار أمر إعادة ضبط (remote wipe) للأجهزة المرتبطة بحساب الضحية، ما يؤدي إلى حذف بيانات شخصية دون موافقة المستخدم. في حالات مُوثَّقة، سجّل المهاجمون دخولهم إلى حسابات استرداد مسجّلة لدى Naver، وحذفوا رسائل التنبيه الأمني في Gmail وتفريغ سلة المحذوفات لإخفاء الآثار.
سلسلة العدوى والأدوات الفنية المستخدمة
يتضمن ملف ZIP الموزَّع عبر التطبيق الحزمي ملف Microsoft Installer خبيثًا باسم “Stress Clear.msi” يحمل توقيعًا رقميًا صالحًا لشركة صينية، ما يمنح الانطباع بالمشروعية. عند التشغيل، يستدعي البرنامج سكربت دفعي (batch) يقوم بالإعداد الأولي ثم يشغّل VBScript يعرض رسالة خطأ مزيفة حول توافق حزمة لغات بينما تنفذ الأوامر الخبيثة في الخلفية.
تشغّل العملية سكربت AutoIt مبرمجًا ليعمل كل دقيقة عبر مهمة مجدولة، ويتصل بخادم خارجي (“116.202.99[.]218”) لتنفيذ أوامر إضافية. رُصدت أدوات وتروجان متعددة على الأجهزة المصابة، منها نسخة تم تسميتها EndRAT (أو EndClient RAT) التي تشترك بخصائص مع Lilith RAT، إضافة إلى تحميل Remcos RAT v7.0.4 ووجود Quasar RAT وRftRAT—مشهد يُظهر اعتماد المهاجم على عدة RATs لأغراض المراقبة والاستنساخ والسرقة.
قائمة الأوامر المدعومة تضمنت: بدء/إيقاف جلسة شل عن بعد، جمع معلومات النظام، تصفح القوائم وتحميل/تنزيل ملفات، تشغيل برامج، وحذف ملفات على الجهاز. لاحظت Genians أن المهاجم بقي مختبئًا في جهاز مخترق لأكثر من سنة، يتجسّس بالكاميرا ويتحكّم بالنظام عند غياب المستخدم.
مؤشرات الاستهداف والتبعات الجغرافية والفنية
رأت الشركة أن الأدلة التقنية تشير إلى أن عمليات Konni مركزة على شبه الجزيرة الكورية لكنها طورت أساليبها لاستغلال وظائف إدارية شرعية كـFind Hub، ما يمثل تصعيدًا خطيرًا حيث تُستخدم ميزات مشروعه لإلحاق ضرر مادي بضحاياها. كما يتطلب تحليل البيانات المستخلصة جهودًا كبيرة لاستخلاص المعلومات ذات الصلة بسبب تنوع الحمولات وتعدد التروجان المستخدمين.
اكتشافات متزامنة: Lazarus وKimsuky وتطور أدوات الحُلفاء
تزامن نشر تقرير Genians مع إفصاحات أخرى: شركة ENKI وثَّقت إصدارًا مُحدّثًا من برمجية Comebacker التي استخدمتها مجموعة Lazarus في حملات تصيد تستهدف منظومات الفضاء والدفاع باستخدام مستندات Word مُعدّة خصيصًا (تمكين الماكروز يؤدي إلى تحميل Comebacker في الذاكرة). كذلك رصدت تحليلات Pulsedive Threat Research دروپر جافاسكربت جديدًا لدى Kimsuky يبدأ بملف “themes.js” الذي يستدعي شيفرة إضافية لعمل جدولة وتنفيذ أوامر، مع احتمال استعمال مستند Word فارغ كطُعم. هذه المعطيات تشي بتواصل تطور مجموعات التهديد في تحديث نُهج الوصول والإخفاء.
