Il gruppo Konni APT, legato alla Corea del Nord, è stato recentemente attribuito a una campagna di phishing mirata a enti governativi ucraini. Questa operazione rappresenta un ampliamento del raggio d’azione del gruppo, che storicamente aveva focalizzato le proprie attività di spionaggio informatico su Russia, Corea del Sud e Stati Uniti. L’obiettivo principale di questa nuova ondata di attacchi è raccogliere informazioni sull’andamento dell’invasione russa in Ucraina, confermando l’interesse strategico di Pyongyang verso la regione.

Modus operandi di Konni APT

Il modus operandi di Konni APT prevede l’utilizzo di email di phishing che simulano comunicazioni da parte di un presunto esperto del Royal Institute of Strategic Studies, un think tank inesistente. All’interno di queste email viene fornito un link a un archivio RAR protetto da password, ospitato su MEGA. L’archivio contiene un file CHM che, una volta aperto, mostra un contenuto-esca relativo a un noto leader militare ucraino. Se la vittima interagisce con il file, un comando PowerShell viene eseguito in background per scaricare un ulteriore payload malevolo, avviando così una fase di ricognizione approfondita sul sistema compromesso.

In altri casi, Konni APT utilizza direttamente un file HTML come allegato, nel quale è presente un link che induce la vittima a scaricare un archivio ZIP con un innocuo PDF e una scorciatoia LNK di Windows. L’esecuzione della LNK attiva comandi PowerShell codificati in Base64 che depositano un file Javascript malevolo (Themes.jse) tramite Visual Basic Script, permettendo all’attaccante di ottenere il controllo remoto del sistema infetto.

Campagne di furto credenziali e altri gruppi nordcoreani

Parallelamente, il gruppo ha condotto campagne di furto di credenziali inviando falsi avvisi di sicurezza Microsoft tramite email da account ProtonMail, invitando i destinatari a verificare accessi sospetti tramite link a domini compromessi. Queste attività precedono spesso la distribuzione del malware e sono mirate allo stesso bacino di utenti, dimostrando una strategia di attacco persistente e coordinata.

Non solo Konni, ma anche altri gruppi nordcoreani come Kimsuky e APT37 stanno intensificando le operazioni di spear-phishing contro enti governativi e attivisti sudcoreani, utilizzando archivi ZIP con file LNK e malware avanzati come RokRAT e PEBBLEDASH, sfruttando servizi cloud legittimi per eludere i controlli di sicurezza e mantenere le comunicazioni con i server di comando e controllo. Queste campagne evidenziano la crescente sofisticazione delle minacce cyber sponsorizzate da stati nazionali nell’area asiatica.