Un grupo de ciberespionaje norcoreano llamado Konni ha sido vinculado a una serie de ataques dirigidos al Ministerio de Relaciones Exteriores de la Federación de Rusia (MID). Estos utilizaban señuelos relacionados con Año Nuevo para comprometer sistemas Windows con malware.
Las tácticas, técnicas y procedimientos (TTP) de Konni se superponen con los actores de amenazas que pertenecen a otro grupo más amplio llamado Kimsuky, que también es rastreado por la comunidad de ciberseguridad bajo los apodos de Velvet Chollima, ITG16, Black Banshee y Thallium.
"Este grupo de actividades demuestra la naturaleza paciente y persistente de los actores avanzados en la realización de campañas de múltiples fases contra redes percibidas de alto valor", han comentado investigadores de la firma Black Lotus Labs de Lumen Technologies en un análisis compartido con The Hacker News.
Los ataques más recientes involucraron al actor obteniendo acceso a las redes objetivo a través de credenciales robadas, explotando el punto de apoyo para cargar malware con fines de recopilación de inteligencia, con los primeros signos de la actividad documentados por MalwareBytes desde julio de 2021.
No obstante, se cree que las iteraciones posteriores de la campaña de phishing se desarrollaron en tres oleadas: la primera sucedió a partir del 19 de octubre de 2021 para recolectar las credenciales del personal de MID, seguida de otra para aprovechar los señuelos temáticos de COVID-19 en noviembre para instalar una versión maliciosa del software de registro de vacunación ruso.
"El momento de esta actividad se alineó estrechamente con la aprobación de las leyes de un pasaporte COVID, que obligaban a los rusos a recibir un código QR del gobierno para mostrar que tenían la vacuna puesta con el fin de acceder a lugares públicos como restaurantes y bares", han añadido los expertos.
A la tercera va la vencida
El tercer ataque se inició el pasado 20 de diciembre, usando como señuelo las festividades de Nochevieja para desencadenar una cadena de infección de múltiples etapas que culminó con la instalación de un troyano de acceso remoto llamado Konni . RAT .
En concreto, las intrusiones se dieron al comprometer primero la cuenta de correo electrónico perteneciente a un miembro del personal del MID, desde la cual se enviaron correos electrónicos a al menos otras dos entidades del MID, incluida la Embajada de Rusia en Indonesia y Sergey Alexeyevich Ryabkov , un viceministro que supervisa el control de armamentos.