Konni-hackers veranderen de Find Hub van Google in een wapen voor het op afstand wissen van gegevens

Cyberbeveiliging
Konni-hackers veranderen de Find Hub van Google in een wapen voor het op afstand wissen van gegevens

De aan Noord-Korea gelieerde dreigingsacteur, bekend als Konni (ook bekend als Earth Imp, Opal Sleet, Osmium, TA406 en Vedalia) is toegeschreven aan een nieuwe reeks aanvallen gericht op zowel Android- als Windows-apparaten voor gegevensdiefstal en afstandsbediening.

“Aanvallers deden zich voor als psychologische adviseurs en Noord-Koreaanse mensenrechtenactivisten en verspreidden malware vermomd als stressverlichtingsprogramma’s”, aldus het Genians Security Center (GSC) in een technisch rapport.

Wat opvalt aan de aanvallen op Android-apparaten is ook het destructieve vermogen van de bedreigingsactoren om Google’s asset-trackingdiensten Find Hub (voorheen Find My Device) te misbruiken om de apparaten van slachtoffers op afstand te resetten, wat leidt tot het ongeoorloofd verwijderen van persoonlijke gegevens. De activiteit werd begin september 2025 gedetecteerd.

Deze ontwikkeling markeert de eerste keer dat de hackgroep legitieme beheerfuncties heeft ingezet om mobiele apparaten op afstand te resetten. De activiteit wordt ook voorafgegaan door een aanvalsketen waarin de aanvallers doelen benaderen via spearphishing-e-mails om toegang te krijgen tot hun computers, en hun ingelogde KakaoTalk-chatappsessies gebruiken om de kwaadaardige ladingen onder hun contacten te verspreiden in de vorm van een ZIP-archief.

Van de spearphishing-e-mails wordt gezegd dat ze legitieme entiteiten zoals de Nationale Belastingdienst nabootsen om ontvangers te misleiden zodat ze kwaadaardige bijlagen openen om trojans voor externe toegang, zoals Lilith RAT, te leveren die op afstand gecompromitteerde machines kunnen overnemen en extra ladingen kunnen leveren.

“De bedreigingsacteur bleef meer dan een jaar verborgen op de besmette computer, bespioneerde via de webcam en bediende het systeem wanneer de gebruiker afwezig was”, aldus GSC. “In dit proces maakt de toegang verkregen tijdens de eerste inbraak systeemcontrole en het verzamelen van aanvullende informatie mogelijk, terwijl ontwijkingstactieken langdurige verhulling mogelijk maken.”

Dankzij de geïnstalleerde malware op de computer van het slachtoffer kunnen de bedreigingsactoren interne verkenningen en monitoring uitvoeren, en de inloggegevens van de Google- en Naver-accounts van de slachtoffers exfiltreren. De gestolen Google-inloggegevens worden vervolgens gebruikt om in te loggen bij Google’s Find Hub en het op afstand wissen van hun apparaten te starten.

In één geval hebben de aanvallers zich aangemeld bij een herstel-e-mailaccount geregistreerd onder Naver, beveiligingswaarschuwingen van Google verwijderd en de prullenbak van de inbox geleegd om sporen van de snode activiteit te verdoezelen.

Het ZIP-bestand dat via de berichtenapp wordt verspreid, bevat een kwaadaardig Microsoft Installer (MSI)-pakket (“Stress Clear.msi”), dat misbruik maakt van een geldige handtekening die is afgegeven aan een Chinees bedrijf om de applicatie een illusie van legitimiteit te geven. Eenmaal gelanceerd, roept het een batchscript op om de initiële installatie uit te voeren en gaat het verder met het uitvoeren van een Visual Basic Script (VB Script) dat een vals foutbericht weergeeft over een compatibiliteitsprobleem met taalpakketten, terwijl de kwaadaardige opdrachten op de achtergrond worden uitgevoerd.

Dit omvat het starten van een AutoIt-script dat is geconfigureerd om elke minuut te worden uitgevoerd door middel van een geplande taak om aanvullende opdrachten uit te voeren die zijn ontvangen van een externe server (“116.202.99(.)218”). Hoewel de malware enkele overeenkomsten vertoont met Lilith RAT, heeft beveiligingsonderzoeker Ovi Liber de codenaam EndRAT (ook wel EndClient RAT genoemd) gekregen vanwege de waargenomen verschillen.

De lijst met ondersteunde opdrachten is als volgt:

  • shellStartom een ​​externe shell-sessie te starten
  • shellStopom de externe shell te stoppen
  • vernieuwenom systeeminformatie te verzenden
  • lijstom stations of hoofdmap weer te geven
  • ga omhoogom één directory omhoog te gaan
  • downloadenom een ​​bestand te exfiltreren
  • uploadenom een ​​bestand te ontvangen
  • loopom een ​​programma op de host uit te voeren
  • verwijderenom een ​​bestand op de host te verwijderen

Genians zeiden dat de Konni APT-acteurs ook een AutoIt-script hebben gebruikt om Remcos RAT versie 7.0.4 te lanceren, die op 10 september 2025 werd uitgebracht door de beheerders ervan, Breaking Security, wat aangeeft dat de tegenstander actief nieuwere versies van de trojan gebruikt bij zijn aanvallen. Op de apparaten van slachtoffers worden ook Quasar RAT en RftRAT waargenomen, een andere trojan die Kimsuky in 2023 eerder gebruikte.

“Dit suggereert dat de malware is toegesneden op Korea-gerichte operaties en dat het verkrijgen van relevante gegevens en het uitvoeren van diepgaande analyses aanzienlijke inspanningen vergt”, aldus het Zuid-Koreaanse cyberbeveiligingsbedrijf.

De nieuwe comebackervariant van Lazarus Group gedetailleerd

De onthulling komt op het moment dat ENKI het gebruik door de Lazarus Group van een bijgewerkte versie van de Comebacker-malware beschrijft bij aanvallen gericht op ruimtevaart- en defensieorganisaties met behulp van op maat gemaakte Microsoft Word-documenten die consistent zijn met een spionagecampagne. Het kunstaas doet zich voor als Airbus, Edge Group en het Indian Institute of Technology Kanpur.

De infectieketen begint wanneer slachtoffers het bestand openen en macro’s inschakelen, waardoor de ingebedde VBA-code wordt uitgevoerd en een lokdocument wordt afgeleverd dat aan de gebruiker wordt weergegeven, samen met een laadcomponent die verantwoordelijk is voor het starten van Comebacker in het geheugen.

De malware brengt op zijn beurt communicatie tot stand met een command-and-control (C2)-server via HTTPS en komt in een lus terecht om te peilen naar nieuwe opdrachten of om een ​​gecodeerde payload te downloaden en uit te voeren.

“Het gebruik van zeer specifieke lokdocumenten door de acteur geeft aan dat dit een gerichte spearphishing-campagne is”, aldus ENKI in een technisch rapport. “Hoewel er tot nu toe geen meldingen zijn van slachtoffers, blijft de C2-infrastructuur actief op het moment van deze publicatie.”

Kimsuky gebruikt een nieuwe JavaScript-dropper

De bevindingen vallen ook samen met de ontdekking van een nieuwe op JavaScript gebaseerde malware-dropper die door Kimsuky is gebruikt bij zijn recente operaties, wat de voortdurende verfijning van zijn malware-arsenaal aantoont. Het initiële toegangsmechanisme waarmee de JavaScript-malware wordt verspreid, is momenteel niet bekend.

Het startpunt van de aanval is een aanvankelijk JavaScript-bestand (“themes.js”) dat contact maakt met een door de tegenstander gecontroleerde infrastructuur om meer JavaScript-code op te halen die in staat is opdrachten uit te voeren, gegevens te exfiltreren en een JavaScript-payload uit de derde fase op te halen om een ​​geplande taak te creëren om elke minuut het eerste JavaScript-bestand te starten en een leeg Word-document te starten, waarschijnlijk als lokmiddel.

“Aangezien het Word-document leeg is en geen macro’s op de achtergrond draait, kan het een lokmiddel zijn”, aldus Pulsedive Threat Research in een analyse die vorige week werd gepubliceerd.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Fitbit-app krijgt materiaal 3 expressieve revisie met vloeiende animaties en AI Health Coach

Google waarschuwt nadat VPN-spyware-apps zich verspreiden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]