吳明宜研究人員發現北韓駭客組織 Konni(又名 Earth Imp 、 Opal Street 、 Osmium TA406 及 Vedalia)發展出新種攻擊手法,鎖定 Android 及 Windows 裝置進行遠端控制和竊取資料。
南韓資安業者 Genians 安全中心在 2025 年 9 月發現,駭客散佈釣魚信件及惡意程式,使其得以濫用 Android Find Hub(原名 Find My Device)功能,而能遠端重設裝置,導致所有個人資料被刪除。這次攻擊不是 Konni 第一次被發現,但是是該組織首次被發現濫用 Android Find My/Find Hub 功能。
攻擊行動包含一個長攻擊串。一開始,駭客發送精準釣魚信件,像是國稅局信件,誘使受害者開啟惡意附件,目的在植入遠端存取後門 (APT) 程式,且潛藏在受害者 PC 裝置中一年之久,以便進行複雜的攻擊行動。研究人員相信攻擊者以惡意程式操控網頁攝影機和偵察系統環境,藉此取得作業系統檔案,或是竊得 Google 和 Naver Kakao 帳號憑證。
透過取得 Google 和 Kakao 憑證,攻擊者即兵分二路。在行動端,他們登入 Naver 的復原郵件帳號、刪掉 Gmail 的安全警示信件,還清除垃圾桶以隱藏惡意活動痕跡,而且登入 Google Find Hub,並存取遠端裝置及重設裝置,包括刪除 Kaokao App 和通知,使其得以專注在桌機攻擊。
另一方面,駭客登入桌機版 KakaoTalk Messenger 帳號後,就能存取其聯絡人資料,將惡意 ZIP 檔案散佈出去。散佈出去的 ZIP 檔假冒舒壓程式,一經解壓縮即在以其中的安裝檔執行 EndRAT 程式,並啟動惡意 AutoIt 腳本語言。這些元件可在背景執行排程任務,持續接收外部伺服器的惡意指令,這些指令包括啟動或停止遠端 Shell 指令、傳送系統資訊、列出磁碟目錄、上傳、下載、執行、或是刪除檔案。
Genians 發現,Konni 也用同一腳本程式散佈 Remcos RAT,其他資安業者 Breaking Security 先後發現駭客使用的 RAT 程式不但有新版 Remcos RAT,也包括 Quasar RAT 和 RftRAT 。
南韓研究人員認為 Konni APT 組織行動是專為南韓設計,如此大費周章是為了進行資訊蒐集和深入分析。