De Noord-Korea-gekoppelde dreigingsacteur bekend als Konni Apt is toegeschreven aan een phishing-campagne die zich richt op overheidsentiteiten in Oekraïne, wat wijst op de targeting van de dreigingsacteur buiten Rusland.
Enterprise Security Firm Proofpoint zei dat het einddoel van de campagne is om intelligentie te verzamelen over het ’traject van de Russische invasie’.
“De interesse van de groep in Oekraïne volgt op historische targeting van overheidsentiteiten in Rusland voor strategische inlichtingenverzameling,” zei beveiligingsonderzoekers Greg Lesnewich, Saher Naumaan, en Mark Kelly zei in een rapport gedeeld met het Hacker News.
Konni Apt, ook bekend als Opal Sleet, Osmium, TA406 en Vedalia, is een cyberspionagegroep met een geschiedenis van targeting -entiteiten in Zuid -Korea, de Verenigde Staten en Rusland. Het is operationeel sinds minstens 2014.
Aanvalketens gemonteerd door de dreigingsacteur omvatten vaak het gebruik van phishing -e -mails om malware genaamd Konni Rat (AKA Updog) te distribueren en ontvangers om te leiden naar de oogstpagina’s van de referentie. Proofpoint, in een analyse van de dreigingsgroep die in november 2021 werd gepubliceerd, beoordeelde TA406 als een van de verschillende acteurs die de activiteiten die publiekelijk worden gevolgd als Kimsuky-, Thallium- en Konni -groep vormen.
De nieuwste set aanvallen die door het cybersecuritybedrijf zijn gedocumenteerd, houdt in dat phishing-e-mails worden gebruikt die zich voordoen als een fictieve senior fellow bij een denktank genaamd het Royal Institute of Strategic Studies, dat ook een niet-bestaande organisatie is.
De e-mailberichten bevatten een link naar een wachtwoord beveiligd RAR-archief dat wordt gehost op de Mega Cloud Service. Het openen van het RAR -archief met behulp van een wachtwoord dat wordt vermeld in de Berichtlichaam lanceert een infectiescène die is ontworpen om uitgebreide verkenning van de gecompromitteerde machines uit te voeren.
Specifiek is aanwezig in het RAR -archief een CHM -bestand dat decoy -inhoud weergeeft met betrekking tot de voormalige Oekraïense militaire leider Valeriy Zaluzhnyi. Als het slachtoffer ergens op de pagina klikt, wordt een PowerShell-opdracht ingebed in de HTML uitgevoerd om een externe server te bereiken en een PowerShell-payload op de volgende fase te downloaden.
Het nieuw gelanceerde PowerShell-script is in staat om verschillende opdrachten uit te voeren om informatie over het systeem te verzamelen, te coderen met Base64-coderen en naar dezelfde server te sturen.
“De acteur stuurde meerdere phishing -e -mails op opeenvolgende dagen dat het doel niet op de link klikte en het doel vroeg of ze de eerdere e -mails hadden ontvangen en of ze de bestanden zouden downloaden,” zeiden de onderzoekers.
Proofpoint zei dat het ook observeerde dat een HTML -bestand direct werd gedistribueerd als een bijlage aan de phishing -berichten. In deze variatie van de aanval wordt het slachtoffer geïnstrueerd om op een ingebedde link in het HTML -bestand te klikken, wat resulteert in de download van een ZIP -archief met een goedaardige PDF en een Windows -sneltoets (LNK) -bestand.
Wanneer de LNK wordt uitgevoerd, voert het Base64-gecodeerde PowerShell uit om een JavaScript-bestand te laten vallen met de naam “Themes.jse” met behulp van een Visual Basic-script. De JSE-malware, op zijn beurt, neemt contact op met een door aanvallers gecontroleerde URL en voert de reactie uit de server uit via PowerShell. De exacte aard van de payload is momenteel niet bekend.
Bovendien is TA406 gezien om inloggegevens te oogsten door nep-Microsoft Security Alert-berichten te sturen naar Oekraïense overheidsentiteiten van Protonmail-accounts, waardoor ze verdachte aanmeldingsactiviteiten van IP-adressen in de Verenigde Staten worden gewaarschuwd en aansporen om de inlog te verifiëren door een link te bezoeken.
Hoewel de pagina met de oogst van de referenties niet is hersteld, zou in het verleden hetzelfde gecompromitteerde domein zijn gebruikt om naver -inloggegevens te verzamelen.
“Deze campagnes voor het oogsten van referenties vonden plaats vóór de poging tot malware -implementaties en waren gericht op enkele van dezelfde gebruikers die later zijn gericht op de HTML -bezorgcampagne,” zei Proofpoint. “TA406 is zeer waarschijnlijk het verzamelen van inlichtingen om Noord -Koreaans leiderschap te helpen het huidige risico te bepalen voor zijn strijdkrachten die al in het theater zijn, evenals de kans dat Rusland meer troepen of bewapening zal aanvragen.”
“In tegenstelling tot Russische groepen die waarschijnlijk zijn belast met het verzamelen van tactische slagveldinformatie en het richten van Oekraïense troepen in situ, heeft TA406 zich meestal gericht op meer strategische inspanningen voor het verzamelen van politieke inlichtingen.”
De openbaarmaking komt omdat de Konni-groep is gekoppeld aan een geavanceerde multi-fasen malware-campagne die targeting-entiteiten in Zuid-Korea richt, met zip-archieven met LNK-bestanden, die PowerShell-scripts uitvoeren om een cabine archief te extraheren en uiteindelijk batchscriptmalariaat te leveren die mogelijk gevoelige gegevens verzamelen en het naar een afstandsbediening van een afstandsbediening leveren.
De bevindingen komen ook aan bij elkaar met speer-phishing-campagnes die door Kimsuky zijn georkestreerd om overheidsinstanties in Zuid-Korea te richten door een Stealer-malware te leveren die in staat is commando-en-control (C2 of C&C) communicatie en het exfiltreren van bestanden, webbrowsergegevens en cryptocurrency-portemonnee-informatie.
Volgens de Zuid-Koreaanse cybersecurity-bedrijf Ahnlab is Kimsuky ook geobserveerd die Pebbledash propageert als onderdeel van een multi-fasen infectiessequentie die is geïnitieerd via speer-phishing. De Trojan werd door de Amerikaanse regering toegeschreven aan de Lazarus -groep in mei 2020.
“Hoewel de Kimsuky-groep verschillende soorten malware gebruikt, voeren ze in het geval van Pebbledash malware uit op basis van een LNK-bestand door speer-phishing in de eerste toegangsfase om hun aanvallen te starten,” zei het.
“Vervolgens gebruiken ze een PowerShell-script om een taakplanner te maken en te registreren voor automatische uitvoering. Door communicatie met een Dropbox en TCP-socket-gebaseerde C&C Server installeert de groep meerdere malware en tools, waaronder Pebbledash.”
Konni en Kimsuky zijn verre van de enige Noord -Koreaanse dreigingsacteurs die zich op Seoul concentreren. In maart 2025 bleken Zuid -Koreaanse entiteiten aan de ontvangende kant te zijn van een andere campagne uitgevoerd door APT37, die ook wordt genoemd als Scarcruft.
Nagesynchronisatie Operation Toybox Story, de speer-phishing-aanvallen hebben verschillende activisten uitgekozen gericht op Noord-Korea, volgens het Genians Security Center (GSC). De eerste waargenomen speer -phishing -aanval vond plaats op 8 maart 2025.
“De e -mail bevatte een dropbox -link die leidde naar een gecomprimeerd archief met een Malicious Skortcut (LNK) -bestand,” zei het Zuid -Koreaanse bedrijf. “Wanneer geëxtraheerd en uitgevoerd, activeerde het LNK -bestand extra malware met het speelgoed van het trefwoord.” “
De LNK -bestanden zijn geconfigureerd om een Decoy HWP -bestand te starten en PowerShell -opdrachten uit te voeren, wat leidt tot de uitvoering van bestanden met de naam Toy03.Bat, Toy02.Bat en Toy01.Bat (in die volgorde), waarvan de laatste ShellCode bevat om Rokrat te starten, een niet -malware geassocieerd met APT37.
Rokrat is uitgerust om systeeminformatie te verzamelen, screenshots vast te leggen en drie verschillende cloudservices te gebruiken, waaronder Pcloud, Yandex en Dropbox voor C2.
“De dreigingsactoren exploiteerden legitieme cloudservices als C2 -infrastructuur en bleven sneltoets (LNK) -bestanden wijzigen, terwijl ze zich concentreerden op Fileless -aanvalstechnieken om detectie te ontwijken door antivirussoftware die op doel -eindpunten is geïnstalleerd,” zei Genians.
