A campanha começa com e-mail direcionado, executa um atalho LNK malicioso, instala RAT escrito em AutoIt e usa a conta KakaoTalk da vítima para enviar arquivos ZIP maliciosos a contatos selecionados.
| Componente | Hosts Windows de vítimas que executam arquivo LNK dentro de anexo ZIP e possuem o aplicativo KakaoTalk desktop autenticado. |
| Vetor | Spear phishing com isca relacionada a nomeação como palestrante de direitos humanos norte-coreanos, levando à abertura de um ZIP com atalho LNK malicioso. |
| Impacto | Instalação de EndRAT, persistência por tarefas agendadas, acesso remoto, transferência de dados, roubo de documentos internos e redistribuição seletiva de malware via KakaoTalk. |
| Prioridade | Conter hosts afetados, revisar sessões KakaoTalk ativas, bloquear execução suspeita de LNK/AutoIt, auditar tarefas agendadas e investigar envio de ZIPs a contatos da vítima. |
| Artefatos | Atalho LNK, anexo ZIP, documento PDF chamariz, malware EndRAT/EndClient RAT escrito em AutoIt e scripts associados a RftRAT e Remcos RAT. |
| Atribuição | A atividade foi atribuída ao grupo Konni, associado a atores norte-coreanos. |
A campanha atribuída ao Konni combina spear phishing, execução de atalho Windows, instalação de RAT e abuso de confiança em mensageria autenticada. O acesso inicial ocorre por um e-mail direcionado que simula uma comunicação sobre a nomeação do destinatário como palestrante de direitos humanos norte-coreanos. A isca conduz a vítima à abertura de um arquivo ZIP que contém um atalho LNK. Quando esse atalho é executado, a cadeia baixa uma etapa posterior de um servidor externo, configura persistência por tarefas agendadas, exibe um PDF chamariz para reduzir suspeitas e executa o malware de acesso remoto no endpoint.
O componente principal descrito na infecção é o EndRAT, também identificado como EndClient RAT, escrito em AutoIt. As capacidades associadas ao malware incluem gerenciamento de arquivos, acesso remoto por shell, transferência de dados e manutenção de persistência. A operação não se limita ao controle inicial do host: o operador permaneceu no sistema comprometido por período prolongado, coletou documentos internos e informações sensíveis e usou o aplicativo KakaoTalk desktop da própria vítima para distribuir arquivos maliciosos a contatos selecionados. Esse uso de uma sessão já confiável muda o risco operacional, porque a próxima vítima recebe o conteúdo por um canal socialmente confiável, não apenas por e-mail externo.
A atividade também mostra redundância de ferramentas. A análise do host infectado identificou artefatos maliciosos adicionais, incluindo scripts AutoIt correspondentes a RftRAT e Remcos RAT. A presença de múltiplas famílias de RAT no mesmo ambiente sugere que o alvo foi considerado valioso pelo operador e que a campanha buscou resiliência de acesso, não apenas execução pontual. Para defesa, isso exige que a investigação trate a máquina como potencial ponto de redistribuição e como origem de roubo documental, além de verificar persistências e sessões autenticadas que possam ter sido usadas depois do comprometimento inicial.
O fluxo observado começa com uma mensagem de spear phishing construída para um público específico. A narrativa da isca gira em torno de conteúdo relacionado à Coreia do Norte, em especial a suposta designação do destinatário como palestrante de direitos humanos. O anexo ZIP contém um arquivo LNK, formato frequentemente abusado porque pode iniciar uma sequência de execução sem apresentar ao usuário um binário evidente. O contexto não fornece o comando embutido no atalho, e esse detalhe não é necessário para a defesa: o ponto crítico é que a execução do LNK aciona download de etapa posterior a partir de infraestrutura externa e inicia a instalação do RAT.
Após a execução, a cadeia estabelece persistência por tarefas agendadas e apresenta um documento PDF chamariz. O PDF funciona como mecanismo de distração: a vítima percebe um artefato aparentemente coerente com a isca inicial enquanto a carga maliciosa fica ativa no endpoint. A persistência por tarefas agendadas dá ao operador oportunidade de manter acesso após reinicializações e de reexecutar componentes sem depender de nova interação do usuário. Como o malware é escrito em AutoIt, a investigação deve considerar tanto executáveis empacotados quanto scripts ou artefatos interpretados associados à automação.
O EndRAT fornece controle remoto suficiente para exploração pós-comprometimento dentro do escopo confirmado pelo contexto: gerenciamento de arquivos, shell remota, transferência de dados e persistência. Esses recursos sustentam coleta de documentos internos e informações sensíveis no host infectado. O material recebido não confirma movimentação lateral, exploração de vulnerabilidade ou exfiltração em escala além dos documentos e informações coletados no endpoint, portanto a análise defensiva deve manter o impacto nesse limite e validar qualquer expansão por evidência própria de rede, identidade e endpoint.
A etapa mais distintiva é o uso do KakaoTalk desktop instalado no sistema comprometido. O operador aproveita a sessão autenticada da vítima para selecionar contatos da lista de amigos e enviar arquivos ZIP maliciosos disfarçados como materiais relacionados à Coreia do Norte. Com isso, a vítima inicial se torna intermediária de distribuição. Essa técnica reduz a fricção social, porque o receptor vê a mensagem partindo de uma conta conhecida. O mesmo padrão de abuso do KakaoTalk já havia sido observado em novembro de 2025, quando sessões autenticadas foram usadas para enviar arquivos ZIP maliciosos a contatos e, em paralelo, credenciais Google roubadas foram usadas para iniciar limpeza remota de dispositivos Android.
A superfície imediata envolve usuários que recebem anexos ZIP por e-mail direcionado ou por mensagem enviada a partir de uma conta KakaoTalk já comprometida. O ativo técnico central é o endpoint Windows que executa o LNK e permite a instalação do RAT. A presença do KakaoTalk desktop autenticado amplia a superfície de risco porque transforma uma aplicação de mensageria em canal de propagação seletiva. O risco não depende apenas de uma caixa de e-mail exposta; ele passa a envolver relações de confiança, sessões locais e contatos do usuário comprometido.
Ambientes que tratam anexos ZIP, atalhos LNK e scripts AutoIt como eventos de baixa prioridade ficam mais expostos a esse tipo de cadeia. A operação usa componentes comuns do sistema, como tarefas agendadas, e um documento chamariz para reduzir o atrito visual. Além disso, a existência de RftRAT e Remcos RAT no mesmo host indica que a resposta não deve encerrar a investigação ao encontrar o primeiro RAT. O endpoint pode carregar mais de uma persistência e mais de um mecanismo de controle, com artefatos em momentos diferentes da intrusão.
- Usuários que receberam ZIPs por e-mail de spear phishing com tema de direitos humanos norte-coreanos.
- Hosts Windows onde um arquivo LNK foi executado a partir de anexo ZIP.
- Endpoints com KakaoTalk desktop autenticado e histórico de envio de ZIPs a contatos após o comprometimento.
- Sistemas com tarefas agendadas criadas ou modificadas no período próximo à execução do anexo.
- Máquinas com artefatos AutoIt associados a EndRAT, RftRAT ou Remcos RAT.
A busca defensiva deve correlacionar o recebimento de anexos ZIP, a extração ou execução de arquivos LNK e a criação posterior de tarefas agendadas. Em EDR, eventos de processo envolvendo atalhos que disparam downloads externos, execução de artefatos AutoIt ou abertura quase simultânea de PDF chamariz são sinais relevantes. O objetivo não é reproduzir a cadeia, mas identificar a sequência temporal: recebimento da isca, execução do LNK, comunicação com servidor externo, persistência e ativação de RAT.
A telemetria de aplicação também importa. Em hosts com KakaoTalk desktop, a defesa deve revisar envios de arquivos ZIP para contatos após o marco de comprometimento, especialmente quando os nomes dos arquivos usam temas relacionados à Coreia do Norte. Esse padrão pode indicar que a máquina foi usada como ponto de redistribuição. Como o operador seleciona contatos específicos, a ausência de envio massivo não elimina o risco. A investigação deve priorizar conversas com anexos, horários incompatíveis com a rotina do usuário e mensagens enviadas enquanto outras evidências de RAT estavam ativas.
Para contenção de escopo, logs de transferência de arquivos, criação de processos, tarefas agendadas, conexões de saída e acesso a documentos internos devem ser analisados em conjunto. A presença de múltiplas famílias de RAT no host exige hunting por famílias e por comportamento, não apenas por nome de malware. Detecções baseadas em abuso de AutoIt, persistência por agendamento e atividades de file management remoto podem capturar variações quando nomes de arquivo e hashes não estão disponíveis no contexto.
- Execução de arquivos LNK extraídos de anexos ZIP recebidos por e-mail ou mensageria.
- Criação ou alteração de tarefas agendadas logo após a abertura de um anexo suspeito.
- Execução de artefatos AutoIt sem relação com software corporativo aprovado.
- Abertura de PDF chamariz em proximidade temporal com download de carga posterior.
- Envio de arquivos ZIP pelo KakaoTalk desktop a contatos selecionados após sinais de comprometimento.
- Atividade de acesso remoto, gerenciamento de arquivos ou transferência de dados compatível com RAT.
A primeira ação defensiva é isolar hosts com indícios de execução do LNK, persistência por tarefas agendadas ou uso anômalo do KakaoTalk. O isolamento deve preservar evidências de endpoint, histórico de processos, arquivos recentes, tarefas agendadas, logs de mensageria disponíveis e artefatos AutoIt. Em seguida, as equipes devem revisar a conta da vítima e as sessões locais do KakaoTalk, porque a campanha usa a conta comprometida como canal de redistribuição. Contatos que receberam ZIPs a partir da vítima precisam ser notificados por canal confiável e ter seus endpoints avaliados.
A correção operacional deve reduzir a chance de execução inicial e limitar persistência. Controles de e-mail e endpoint devem tratar anexos ZIP com LNK como alto risco, bloquear atalhos vindos de zonas não confiáveis sempre que possível e alertar para AutoIt fora de inventário autorizado. Tarefas agendadas novas ou modificadas por usuário comum, especialmente quando associadas a caminhos temporários, diretórios de perfil ou artefatos recém-extraídos, devem gerar revisão. A presença de EndRAT, RftRAT ou Remcos RAT deve acionar resposta completa de incidente, porque o host pode ter sido usado para roubo de documentos e para distribuição adicional.
A validação final deve confirmar que não há tarefas agendadas residuais, processos persistentes, artefatos AutoIt suspeitos, RATs adicionais ou sessões de mensageria abusadas. Como o contexto confirma roubo de documentos internos e informações sensíveis, a investigação deve mapear quais arquivos foram acessados ou transferidos e revisar permissões excessivas do usuário comprometido. A resposta também deve incluir reforço de conscientização específico para anexos recebidos por contatos confiáveis, pois a campanha explora a confiança social do KakaoTalk e não apenas mensagens externas desconhecidas.
- Isolar endpoints com execução suspeita de LNK, EndRAT ou tarefas agendadas associadas à cadeia.
- Revisar e encerrar sessões KakaoTalk comprometidas e verificar envios recentes de ZIPs a contatos.
- Bloquear ou elevar a inspeção de anexos ZIP contendo LNK em e-mail e mensageria corporativa.
- Auditar tarefas agendadas criadas no período do incidente e remover persistências confirmadas.
- Investigar artefatos AutoIt e sinais de EndRAT, RftRAT e Remcos RAT no mesmo host.
- Avaliar documentos acessados ou transferidos e aplicar contenção de dados conforme evidência.
0 Comentários