Konni, 피싱을 통해 EndRAT 배포, KakaoTalk으로 Malware 전파
Source: The Hacker News
번역할 텍스트가 제공되지 않았습니다. 번역을 원하는 본문을 알려주시면 한국어로 번역해 드리겠습니다.
개요
남한 정보 기업 Genians가 해킹 그룹 Konni 로 식별한 북한 위협 행위자들은 스피어‑피싱 이메일을 사용해 피해자의 데스크톱에 접근하고 있습니다. 시스템이 침해되면, 이들은 피해자의 KakaoTalk 데스크톱 클라이언트를 탈취하여 선택된 연락처에 악성 페이로드를 배포합니다.
Source: …
공격 벡터
- 스피어 피싱 이메일 – 수신자를 북한 인권 강연자로 지정하는 공지 형태로 메시지를 작성합니다.
- 악성 첨부 파일 – 이메일에 Windows 바로 가기(
.lnk)가 포함된 ZIP 파일이 첨부됩니다. - 실행 – 바로 가기를 열면 외부 서버에서 2단계 페이로드를 다운로드하고, 예약 작업(persistence) 메커니즘을 생성한 뒤 악성 코드를 실행합니다.
- 미끼 – 악성 코드가 실행되는 동안 사용자를 현혹하기 위해 PDF 문서가 표시됩니다.
KakaoTalk 활용 전파
악성 행위자는 초기 침투에 성공한 뒤, 탈취된 KakaoTalk 클라이언트를 이용하여:
- 피해자의 친구 목록에 있는 특정 연락처에게 악성 ZIP 파일을 전송한다.
- 파일명을 “북한 관련” 자료로 위장하여 수신자를 유인한다.
- 최초 피해자를 무심코 배포자로 만들고, 추가 피싱 캠페인 없이 공격 체인을 확장한다.
이 기법은 2025년 11월에 발생한 이전 Konni 캠페인과 유사한데, 해당 캠페인에서는 로그인된 KakaoTalk 세션을 악용해 ZIP 압축된 페이로드를 전달하고, 탈취된 Google 자격 증명을 이용해 Android 기기를 원격으로 삭제하도록 유도하였다.
악성코드: EndRAT
다운로드된 페이로드는 AutoIt으로 작성된 원격 액세스 트로이목으로, EndRAT(또는 EndClient RAT)이라고 알려져 있습니다. 기능은 다음과 같습니다:
- 파일 시스템 탐색 및 탈취
- 원격 셸 실행
- 데이터 전송 및 스테이징
- 예약 작업을 통한 지속성
추가 RAT 패밀리 관찰
| RAT | 참조 |
|---|---|
| RftRAT | Lazarus Group using Log4j exploits |
| RemcosRAT | — |
이러한 결과는 공격자가 피해자를 충분히 가치 있게 여기어 여러 백도어를 배포했음을 시사합니다.
출처
이 캠페인은 악성코드를 횡방식으로 배포하기 위해 합법적인 메신저 플랫폼을 활용하는 것으로 알려진 북한 연계 그룹 Konni에게 귀속되었습니다. Genians는 이 작전을 장기 지속성, 정보 절도, 그리고 계정 기반 재배포를 결합한 다단계 공격이라고 설명합니다.
“공격자는 피해자의 친구 목록에서 특정 연락처를 선택하고, 열람을 유도하기 위해 북한 관련 내용이 포함된 것으로 보이는 파일명을 사용하여 추가 악성 파일을 전송했습니다.” – Genians Security Center
참고 문헌
- Konni의 최근 활동: https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html
- Genians의 KakaoTalk 악용 분석: https://www.genians.co.kr/en/blog/threat_intelligence/kakaotalk
- 이전 KakaoTalk 캠페인 (2025년 11월): https://thehackernews.com/2025/11/konni-hackers-turn-googles-find-hub.html
- EndRAT 상세 정보: https://thehackernews.com/2025/11/konni-hackers-turn-googles-find-hub.html
- RftRAT 참고: https://thehackernews.com/2023/12/lazarus-group-using-log4j-exploits-to.html