朝鲜背景的Konni团伙最近被韩国Genians安全中心逮个正着。这帮人玩起了老套路加新花样:先发钓鱼邮件,骗受害者点开ZIP包里的LNK文件,感染EndRAT远程木马,然后直接把受害者的KakaoTalk桌面版当武器,向好友列表里精准投放恶意ZIP包。
钓鱼邮件伪装成“任命你为朝鲜人权讲师的通知”,主题够狠够针对。收件人一旦中招,LNK文件执行后从外部服务器拉取AutoIt写的EndRAT。木马先建计划任务保活,然后亮出PDF诱饵文档转移视线。整个过程干净利落,受害机上能躺好几个月不动声色,偷内部文件、敏感资料。
关键点来了。Konni不满足于单点突破,他们翻受害者的KakaoTalk好友列表,挑特定目标发带毒ZIP文件。文件名直接伪装成“朝鲜相关资料介绍”“人权报告附件”之类,借受害者本人的账号发出去,信任度拉满。收件人点开基本没防备,直接中招,形成链式传播。
Genians报告里明确写到,这已经是Konni第二次大规模滥用KakaoTalk。2025年11月他们就干过类似的事:偷受害者Google账号远程擦除安卓设备,同时用已登录的KakaoTalk会话群发ZIP恶意包。现在手法升级,桌面端KakaoTalk成了主战场,持久驻留+多RAT叠加成了标配。
感染主机上还挖出RftRAT和RemcosRAT的AutoIt脚本痕迹。说明Konni认定这个受害者价值高,直接扔了好几个不同家族的RAT进来,提高抗查杀能力。文件管理、远程shell、数据回传、持久化,这些功能一个不少,基本把受害机当肉鸡使唤。
这种把受害者变成传播中介的打法,效率高到吓人。攻击者不用自己建C2域名、发新邮件,借熟人关系网直接扩散,社会工程学玩到极致。Genians把这次行动定性为多阶段复合攻击:长期驻留、信息窃取、基于账号的再分发,三管齐下。
当前加密市场还算平稳,BTC报$73,781(24h +0.60%),ETH报$2,314(24h +2.31%),但这类针对韩国用户和朝鲜相关主题的攻击链,实际影响的往往是政界、智库、NGO圈子。这些机构里不少人同时炒币或者管着项目资金,一旦账号被劫持,后果不堪设想。
Konni从2014年左右就开始活跃,早期主打间谍活动,目标直指韩国政府和军方。现在手法越来越商业化,传播路径也从传统邮件钓鱼转向即时通讯工具滥用。KakaoTalk在韩国用户基数超大,渗透率高到离谱,成了黑客眼里的香饽饽。
安全厂商提醒得很直白:别随便点来路不明的ZIP,尤其是熟人发来的“资料”。LNK文件杀伤力大,开之前多看一眼属性。企业端更该管住桌面版聊天软件的外部文件传输,开启严格沙箱或者直接禁掉自动下载。
这波操作暴露了即时通讯工具在攻击链里的致命弱点。一旦账号被控,信任关系瞬间变成武器。Konni没停手,估计后面还会继续迭代。韩国情报机构已经在加紧追踪,Genians的报告也公开了部分IOC,供安全圈参考。
攻击者选联系人发包的手法,精准又阴险。受害者自己都不知道帮了倒忙。类似链式传播在加密圈其实也常见,比如Discord被劫持后群发假空投链接,原理一模一样。只是这次换成了KakaoTalk,地域针对性更强。
这场仗远没打完。Konni只要还能从受害机里薅到新目标,传播链条就不会断。普通用户防不胜防,企业用户更得把聊天软件当高危入口管起来。