Desde Pionyang, con amor: qué sorprende de la nueva campaña de malware del grupo Konni
Un solo paso desencadena una larga reacción en cadena.
El grupo norcoreano Konni llevó a cabo una nueva campaña con un ataque en múltiples etapas, en el que usó correos de phishing y el mensajero KakaoTalk para distribuir código malicioso. El esquema permitió a los atacantes no solo afianzarse en los ordenadores de las víctimas, sino también convertirlos en un canal para nuevas infecciones.
Los analistas de la empresa surcoreana Genians establecieron que los atacantes obtenían el acceso inicial a través de correos dirigidos. Los mensajes se hacían pasar por notificaciones de asignación del destinatario como ponente sobre derechos humanos en Corea del Norte. El adjunto contenía un archivo ZIP con un acceso directo de Windows. Al ejecutar el archivo, el sistema descargaba el siguiente componente desde un servidor remoto, se persistía mediante el programador de tareas y mostraba un documento PDF como distracción.
La carga principal consistía en el troyano de acceso remoto EndRAT, escrito en AutoIt. El programa daba a los operadores control total sobre la máquina infectada, incluyendo gestión de archivos, ejecución de comandos y transferencia de datos. En los dispositivos comprometidos también se detectaron rastros de otras herramientas maliciosas, incluidas RftRAT y Remcos, lo que indica un interés elevado por objetivos concretos y un intento de aumentar la resistencia del ataque.
Tras la intrusión, los atacantes permanecieron sin ser detectados durante largo tiempo y recopilaron documentos internos e información sensible. Una particularidad de la campaña es el uso de KakaoTalk instalado en los ordenadores. A través de la cuenta de la víctima, los atacantes enviaban a los contactos archivos ZIP con contenido malicioso, seleccionando a los destinatarios manualmente. Los nombres de los archivos imitaban materiales relacionados con la temática de Corea del Norte para aumentar la probabilidad de apertura.
Konni había aplicado un método similar anteriormente. A finales de 2025, el grupo distribuía archivos maliciosos a través de sesiones activas de KakaoTalk y, paralelamente, intentaba borrar datos de forma remota en dispositivos Android utilizando credenciales de Google robadas.
La campaña actual muestra un desplazamiento hacia ataques combinados, donde el phishing se complementa con una presencia oculta prolongada, robo de datos y propagación a través de canales de comunicación de confianza. El uso de usuarios infectados como intermediarios dificulta la detección y aumenta el alcance.