【安全圈】朝鮮黑客組織Konni濫用Google Find Hub 實施遠程數據清除攻擊

關鍵詞

網絡攻擊

韓國網絡安全公司Genians Security Center（GSC）披露，隸屬于朝鮮的網絡攻擊組織Konni（又名 Earth Imp、Opal Sleet、Osmium、TA406、Vedalia）近期發動新一輪攻擊行動，目標涵蓋Android與Windows設備。此次行動不僅涉及數據竊取與遠程控制，還首次濫用 Google 的資產追蹤服務Find Hub（原 Find My Device）實現遠程數據清除功能，具備極強的破壞性。

GSC 在技術報告中指出，攻擊者偽裝成心理咨詢師或朝鮮人權活動人士，向目標投遞偽裝為“壓力緩解程序”的惡意軟件。針對 Android 設備的攻擊尤其突出，其利用 Google Find Hub 的遠程管理功能，在入侵后可直接執行設備重置，從而清除受害者的全部個人數據。該攻擊活動自 2025 年 9 月初被發現，是 Konni 首次將合法云服務的管理功能武器化，用于遠程摧毀移動設備數據。

整個攻擊鏈條起始于魚叉式釣魚郵件。攻擊者冒充韓國國稅廳等合法機構，向特定目標發送帶有惡意附件的電子郵件，誘使受害者下載并執行遠程訪問木馬Lilith RAT。一旦受害者計算機被攻陷，攻擊者便可遠程控制設備、竊取數據，并利用受害者的KakaoTalk聊天會話向其聯系人傳播惡意文件。這些傳播包通常以 ZIP 壓縮檔形式出現，內含名為“Stress Clear.msi”的安裝程序。該程序濫用了中國某公司簽發的合法數字簽名以偽裝可信，運行后會執行批處理腳本與 VBScript 腳本，向用戶顯示語言兼容性錯誤的假信息，而后臺則在靜默狀態下部署惡意命令。

惡意腳本會啟動名為EndRAT（又稱 EndClient RAT）的遠控程序。該程序通過計劃任務機制每分鐘執行一次，從外部 C2 服務器（116.202.99[.]218）接收指令，實現系統信息收集、文件傳輸、遠程 Shell 執行、文件刪除與程序啟動等功能。安全研究人員指出，雖然 EndRAT 與 Lilith RAT 在部分行為上類似，但其代碼結構有所差異，表明該工具為 Konni 專門改進的新型遠控模塊。

GSC 的分析還發現，攻擊者在部分受害者系統中利用 AutoIt 腳本啟動Remcos RAT 7.0.4，該版本由 Breaking Security 于 2025 年 9 月 10 日發布，顯示出 Konni 正積極采用最新版本的商業化遠控工具。此外，研究人員還檢測到Quasar RAT與RftRAT的存在，后者曾被朝鮮另一組織Kimsuky于 2023 年使用。這一系列證據表明，該攻擊活動高度聚焦韓國地區，攻擊者在持續收集本地化數據，并投入大量資源進行深度偽裝與持久滲透。

GSC 報告指出，Konni 在入侵 Windows 系統后，能夠長時間隱藏自身蹤跡，有時潛伏超過一年。攻擊者可通過受感染主機的攝像頭實施監控，在用戶離開時遠程操作系統，并竊取受害者的 Google 與 Naver 帳號憑證。更令人警惕的是，攻擊者利用被盜的 Google 憑證登錄受害者的 Find Hub 帳號，遠程執行設備重置操作，徹底刪除受害者手機數據。部分案例顯示，攻擊者甚至進入受害者的 Naver 備用郵箱，刪除來自 Google 的安全警報郵件并清空回收站，以掩蓋行為痕跡。

在 Konni 活動曝光的同時，另一朝鮮黑客組織Lazarus Group被發現使用新版Comebacker惡意軟件，對航空航天與國防行業實施定向攻擊。韓國安全公司ENKI指出，攻擊者通過偽裝為Airbus、Edge Group及印度理工學院坎普爾分校（IIT Kanpur）的 Word 文檔引誘目標開啟宏功能，從而加載并執行惡意組件。Comebacker 通過 HTTPS 與遠程 C2 通信，循環接收加密指令，進行持續監控與數據竊取。目前雖尚未發現受害者，但其 C2 基礎設施仍處于活躍狀態。

與此同時，Kimsuky組織也被發現使用一種新型基于JavaScript的惡意加載器（Dropper）。該攻擊以themes.js文件為起點，連接攻擊者控制的服務器下載更多腳本代碼，執行命令、竊取信息并加載第三階段 Payload，同時創建計劃任務每分鐘運行一次初始腳本，并打開一個空白的 Word 文檔作為誘餌。安全公司Pulsedive Threat Research指出，這種空文檔雖無宏執行行為，但用于誤導受害者并維持攻擊進程的持久性。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！