أفادت شركة الاستخبارات الكورية الجنوبية Genians أن مجموعة القرصنة المرتبطة بكوريا الشمالية والمعروفة باسم Konni شنت حملة تصيّد موجّهة للحصول على وصول أولي إلى أنظمة الضحايا. البريد الاحتيالي كان متخفياً في صورة إشعار بتعيين المستلم كمحاضر في مجال حقوق الإنسان في كوريا الشمالية.
بمجرد فتح الملف المرفق (ZIP) وتنفيذ ملف LNK الخبيث، يتم تنزيل حمولة إضافية من خادم خارجي، وتثبيت مهام مجدولة لضمان الاستمرارية، مع عرض مستند PDF مزيف لإخفاء النشاط الضار.
البرمجية الخبيثة EndRAT
الحمولة الرئيسية هي برمجية وصول عن بُعد مكتوبة بلغة AutoIt تُعرف باسم EndRAT (EndClient RAT). هذه البرمجية تمنح المهاجمين سيطرة كاملة على الجهاز المصاب، بما في ذلك:
- إدارة الملفات.
- الوصول إلى سطر الأوامر عن بُعد.
- نقل البيانات.
- الحفاظ على الاستمرارية.
التحليل كشف أيضاً وجود برمجيات أخرى مثل RftRAT وRemcos RAT، مما يشير إلى أن المهاجمين يعتبرون الضحية هدفاً ذا قيمة عالية ويحرصون على تعزيز قدرتهم على البقاء داخل النظام.
استغلال KakaoTalk لنشر العدوى
أحد أبرز جوانب الهجوم هو استغلال تطبيق KakaoTalk المثبت على الجهاز المصاب لنشر ملفات ZIP خبيثة إلى جهات اتصال مختارة من قائمة أصدقاء الضحية. بهذه الطريقة، يتحول الضحايا أنفسهم إلى وسطاء لنشر البرمجية إلى أهداف جديدة، مما يزيد من فعالية الحملة.
هذه ليست المرة الأولى التي تستخدم فيها Konni تطبيق KakaoTalk كقناة توزيع؛ ففي نوفمبر 2025، استغلت المجموعة جلسات تسجيل الدخول لإرسال ملفات خبيثة وتنفيذ مسح عن بُعد لأجهزة أندرويد باستخدام بيانات اعتماد مسروقة من جوجل.
تقييم الحملة
تُصنّف هذه العملية على أنها هجوم متعدد المراحل يجمع بين التصيّد الموجّه، الاستمرارية طويلة الأمد، سرقة المعلومات، وإعادة توزيع البرمجيات عبر الحسابات المخترقة. المهاجمون استخدموا أسماء ملفات متخفية في صورة مواد تعريفية عن كوريا الشمالية لخداع المستلمين وتشجيعهم على فتح الملفات.
