Campanha atribuída ao grupo norte-coreano combina spear phishing, RATs em Windows, sequestro de sessões de mensageria e abuso de funções legítimas do Find Hub para apagar dispositivos Android de vítimas.
| Componente | Contas Google e Naver, Google Find Hub, dispositivos Android associados às contas e estáções Windows comprometidas por RATs. |
| Vetor | Spear phishing com anexos maliciosos, personificação de entidades legítimas e distribuição posterior de ZIP por sessões já autenticadas do KakaoTalk. |
| Impacto | Controle remoto de computadores Windows, coleta de credenciais, espionagem por webcam, execução de cargas adicionais e apagamento remoto não autorizado de dispositivos Android via função legítima do Find Hub. |
| Prioridade | Conter endpoints Windows suspeitos, revogar sessões e credenciais, habilitar passkeys ou verificação em duas etapas, revisar eventos de Find Hub e proteger contas de recuperação. |
| Artefatos | Stress Clear.msi, scripts AutoIt e VBScript, themes.js, Lilith RAT, EndRAT, Remcos RAT 7.0.4, Quasar RAT, RftRAT e Comebacker em campanhas correlatas. |
| IoCs | Infraestrutura externa defangada citada no contexto: 116.202.99[.]218; tratar como exemplo pontual e priorizar classes de telemetria em vez de listas extensas. |
A atividade atribuída ao Konni, também associado aos nomes Earth Imp, Opal Sleet, Osmium, TA406 e Vedalia, mostra uma cadeia de espionagem voltada a alvos com contexto coreano e uso combinado de comprometimento em Windows, roubo de credenciais e abuso de recursos legítimos de administração de dispositivos. O ponto mais sensível da operação não é uma falha no Android ou no Google Find Hub, mas a obtenção prévia de credenciais Google a partir de um computador já comprometido. Com essas credenciais, o operador consegue acessar funções normais de gerenciamento da conta e iniciar o apagamento remoto de dispositivos Android vinculados, resultando em exclusão não autorizada de dados pessoais.
A campanha foi detectada no início de setembro de 2025 e usa engenharia social direcionada. Os operadores se passam por conselheiros psicológicos, ativistas de direitos humanos norte-coreanos e entidades legítimas, incluindo iscas que simulam comunicação do serviço tributário nacional. Em vez de depender de exploração direta de uma vulnerabilidade móvel, a operação constrói persistência e visibilidade no computador da vítima, extrai credenciais e depois usa a própria relação de confiança entre conta, dispositivo e serviço de localização para produzir impacto destrutivo.
A cadeia começa com spear phishing e anexos maliciosos que entregam trojans de acesso remoto, incluindo Lilith RAT e cargas relacionadas. Após o comprometimento inicial, o operador mantém acesso ao sistema Windows, realiza reconhecimento interno, monitora atividade do usuário e coleta credenciais de contas Google e Naver. O material analisado descreve permanência superior a um ano em pelo menos um computador, com espionagem por webcam e operação do sistema quando o usuário estava ausente. Esse tempo de residência aumenta o valor operacional do acesso, pois permite observar hábitos, capturar sessões, identificar contas de recuperação e escolher o momento de ações mais ruidosas.
Um segundo eixo da operação usa sessões já autenticadas do KakaoTalk no computador comprometido. A partir dessas sessões, os atacantes distribuem para contatos da vítima um arquivo ZIP contendo um instalador MSI malicioso chamado Stress Clear.msi, apresentado como programa de alívio de estresse. O MSI usa uma assinatura válida emitida para uma empresa chinesa para aparentar legitimidade. Após a execução, a cadeia chama um script em lote para preparação inicial e aciona um VBScript que mostra uma mensagem falsa de incompatibilidade de pacote de idioma enquanto a execução maliciosa ocorre em segundo plano.
A carga observada inclui script AutoIt configurado para execução periódica por tarefa agendada a cada minuto, com objetivo de receber instruções de infraestrutura externa e executar ações adicionais. Embora existam semelhanças com Lilith RAT, o conjunto foi diferenciado como EndRAT ou EndClient RAT por diferenças técnicas observadas. A mesma atividade também envolve uso de Remcos RAT 7.0.4, Quasar RAT e RftRAT, indicando uma operação que alterna ferramentas comerciais, famílias conhecidas e componentes customizados para manter acesso, ampliar coleta e preservar flexibilidade operacional.
O apagamento remoto pelo Find Hub ocorre depois do roubo de credenciais Google, não por exploração de uma falha no serviço. O operador entra na conta, acessa a função legítima de localização e gerenciamento de dispositivo e aciona a redefinição remota. Em uma situação descrita, o acesso também passou por uma conta de recuperação registrada no Naver; alertas de segurança enviados pelo Google foram apagados e a lixeira da caixa postal foi esvaziada para reduzir evidências visíveis à vítima. Esse detalhe muda a prioridade defensiva: proteger apenas o endpoint não basta quando contas de recuperação e caixas de e-mail secundárias podem ser usadas para ocultar alertas e sustentar ações de tomada de conta.
A superfície exposta envolve usuários com contas Google associadas a dispositivos Android e computadores Windows usados para comunicação, mensageria e acesso a serviços pessoais ou profissionais. O risco é maior quando o mesmo computador mantém sessões autenticadas em mensageria, e-mail ou serviços de conta, pois o operador pode usar essas sessões como ponte para distribuição social do malware e para manipulação de alertas de segurança. Também há exposição quando contas de recuperação não têm autenticação forte, quando alertas de login não são monitorados e quando a organização não correlaciona sinais de RAT em endpoint com mudanças críticas em contas pessoais usadas por usuários sensíveis.
A operação também dialoga com campanhas norte-coreanas correlatas. Um conjunto separado associado ao Lazarus usa documentos Microsoft Word personalizados contra organizações dos setores aeroespacial e de defesa, com iscas relacionadas a Airbus, Edge Group e Indian Institute of Technology Kanpur. Nessa cadeia, a execução depende de habilitação de macros, entrega de documento isca e carregamento do Comebacker em memória, que se comunica por HTTPS com servidor de comando e controle para buscar comandos ou payload criptografado. Em paralelo, atividade atribuída ao Kimsuky usa um dropper JavaScript iniciado por themes.js, que busca código adicional, executa comandos, exfiltra dados e cria persistência periódica com documento Word vazio como provável isca.
- Computadores Windows com anexos maliciosos executados e sessões de KakaoTalk, e-mail ou navegador ainda autenticadas.
- Contas Google com credenciais roubadas e dispositivos Android registrados no Find Hub.
- Contas Naver usadas como recuperação ou canal de recebimento de alertas de segurança.
- Organizações e indivíduos ligados a direitos humanos norte-coreanos, aconselhamento psicológico, defesa, aeroespacial e temas coreanos sensíveis.
- Ambientes onde macros de documentos Office, instaladores MSI assinados e scripts AutoIt, VBScript ou JavaScript não são tratados como eventos de alto risco.
A investigação deve começar pela correlação entre comportamento de RAT em Windows e eventos de conta. Em endpoint, procure criação de tarefas agendadas com frequência anormal, execução recorrente de AutoIt, VBScript acionado por instalador MSI e processos que exibem mensagens de erro falsas enquanto criam persistência ou fazem comunicação externa. A presença de Stress Clear.msi ou nomes semelhantes deve ser tratada como pivô para coleta de linha do tempo, artefatos de instalação, assinatura do binário, diretórios temporários, scripts auxiliares e conexões de saída. A infraestrutura 116.202.99[.]218 aparece como exemplo defangado no contexto, mas a defesa deve buscar padrões de beaconing e execução periódica, não depender de um único indicador.
Em identidade, a prioridade é revisar logins Google e Naver fora do perfil esperado, mudanças em métodos de recuperação, exclusão de mensagens de alerta e ações administrativas no Find Hub. Eventos de apagamento remoto ou redefinição de dispositivo devem ser cruzados com logins recentes, alterações de senha, acesso a e-mail de recuperação e sinais de comprometimento em endpoints usados pela mesma pessoa. Para mensageria, a telemetria relevante inclui envio de ZIP para múltiplos contatos a partir de uma sessão existente, principalmente quando o arquivo simula utilitário de bem-estar, estresse ou aconselhamento.
Para a cadeia Comebacker, os sinais relevantes são documentos Word com iscas altamente específicas, habilitação de macros, execução de VBA, carregamento em memória e comunicação HTTPS repetitiva com infraestrutura de C2. Para o dropper JavaScript atribuído ao Kimsuky, procure themes.js, execução de JavaScript fora de fluxos administrativos esperados, criação de tarefa agendada com periodicidade curta e abertura de documento Word vazio como distração. Em todos os casos, o limite de atribuição deve ser respeitado: os nomes de atores ajudam a organizar TTPs, mas a resposta operacional deve se basear em evidência local, telemetria e escopo confirmado.
- Criação de tarefa agendada com execução a cada minuto envolvendo AutoIt, VBScript ou JavaScript.
- Execução de MSI com tema de alívio de estresse, seguida de mensagem falsa de incompatibilidade de idioma.
- Conexões de saída para infraestrutura externa logo após execução de instalador ou script.
- Logins incomuns em Google ou Naver, exclusão de alertas de segurança e esvaziamento de lixeira de e-mail.
- Ações de redefinição ou apagamento remoto em dispositivos Android vinculadas a sessão de conta suspeita.
- Envio de arquivos ZIP por KakaoTalk a partir de conta de usuário previamente comprometida.
A resposta deve tratar o caso como combinação de comprometimento de endpoint e tomada de conta. Em primeiro lugar, isole máquinas Windows com sinais de RAT, preserve artefatos de memória e disco para análise e remova persistências como tarefas agendadas, scripts auxiliares e instaladores relacionados. Em seguida, revogue sessões ativas de contas Google, Naver, mensageria e e-mail acessadas a partir do host afetado. A simples troca de senha pode ser insuficiente se sessões e tokens continuarem válidos ou se a conta de recuperação também estiver sob controle do operador.
Para reduzir a chance de abuso do Find Hub, contas Google de usuários sensíveis devem usar passkeys ou verificação em duas etapas resistente a phishing quando possível. Usuários em risco elevado por função, setor ou exposição pública devem ser avaliados para programas de proteção avançada. Também é necessário revisar contas de recuperação, remover métodos desconhecidos, confirmar posse de caixas postais secundárias e ativar alertas por canais independentes. Em dispositivos Android, equipes devem registrar eventos de apagamento remoto e manter política de backup que permita recuperação sem depender do dispositivo afetado.
No perímetro de endpoint e e-mail, bloqueie ou alerte para anexos MSI e ZIP inesperados, especialmente quando distribuídos por mensageria a partir de contatos confiáveis. Scripts AutoIt, VBScript e JavaScript executados em contexto de usuário comum devem gerar alertas quando criarem tarefas agendadas, abrirem documentos isca ou estabelecerem comunicação externa. Para documentos Office, desabilitar macros por padrão e controlar exceções reduz a exposição a cadeias como a usada pelo Comebacker. A validação final deve confirmar ausência de persistência, rotação de credenciais, revogação de sessões, integridade das contas de recuperação e inexistência de novos eventos de Find Hub.
- Isolar endpoints suspeitos e coletar artefatos antes de limpeza destrutiva.
- Revogar sessões de Google, Naver, e-mail, navegador e mensageria associadas ao host comprometido.
- Habilitar passkeys ou verificação em duas etapas e revisar métodos de recuperação de conta.
- Auditar eventos de Find Hub, incluindo solicitações de apagamento remoto e logins anteriores.
- Bloquear ou inspecionar anexos ZIP/MSI inesperados distribuídos por mensageria.
- Alertar para tarefas agendadas de alta frequência e execução anômala de AutoIt, VBScript ou JavaScript.
- Reforçar política de macros do Office e monitorar carregamento em memória associado a documentos isca.
0 Comentários