Aktor ancaman terkait Korea Utara yang dikenal sebagai Konni Apt telah dikaitkan dengan kampanye phishing yang menargetkan entitas pemerintah di Ukraina, yang menunjukkan penargetan aktor ancaman di luar Rusia.
Perusahaan keamanan perusahaan Proofpoint mengatakan tujuan akhir dari kampanye ini adalah untuk mengumpulkan intelijen pada “lintasan invasi Rusia.”
“Ketertarikan kelompok di Ukraina mengikuti penargetan historis entitas pemerintah di Rusia untuk tujuan pengumpulan intelijen strategis,” kata peneliti keamanan Greg Lesnewich, Saher Naumaan, dan Mark Kelly mengatakan dalam sebuah laporan yang dibagikan kepada Hacker News.
Konni Apt, juga dikenal sebagai Opal Sleet, Osmium, TA406, dan Vedalia, adalah kelompok spionase dunia maya yang memiliki sejarah entitas penargetan di Korea Selatan, Amerika Serikat, dan Rusia. Ini operasional sejak setidaknya 2014.
Rantai serangan yang dipasang oleh aktor ancaman sering melibatkan penggunaan email phishing untuk mendistribusikan malware yang disebut Konni Rat (alias Updog) dan mengarahkan penerima ke halaman panen kredensial. Proofpoint, dalam analisis kelompok ancaman yang diterbitkan pada November 2021, menilai TA406 sebagai salah satu dari beberapa aktor yang membentuk aktivitas yang secara publik dilacak sebagai Kimsuky, Thallium, dan Konni Group.
Serangkaian serangan terbaru yang didokumentasikan oleh perusahaan cybersecurity mensyaratkan penggunaan email phishing yang menyamar sebagai rekan senior fiktif di sebuah think tank yang disebut Royal Institute of Strategic Studies, yang juga merupakan organisasi yang tidak ada.
Pesan email berisi tautan ke arsip RAR yang dilindungi kata sandi yang di-host di layanan cloud mega. Membuka arsip RAR menggunakan kata sandi yang disebutkan dalam badan pesan meluncurkan urutan infeksi yang direkayasa untuk melakukan pengintaian luas dari mesin yang dikompromikan.
Secara khusus, hadir dalam arsip RAR adalah file CHM yang menampilkan konten umpan yang terkait dengan mantan pemimpin militer Ukraina Valeriy Zaluzhnyi. Jika korban mengklik di mana saja pada halaman, perintah PowerShell yang tertanam dalam HTML dieksekusi untuk menjangkau server eksternal dan mengunduh muatan PowerShell tahap berikutnya.
Skrip PowerShell yang baru diluncurkan mampu melaksanakan berbagai perintah untuk mengumpulkan informasi tentang sistem, menyandikannya menggunakan encoding base64, dan mengirimkannya ke server yang sama.
“Aktor mengirim beberapa email phishing pada hari -hari berturut -turut ketika target tidak mengklik tautan, menanyakan target apakah mereka telah menerima email sebelumnya dan jika mereka akan mengunduh file,” kata para peneliti.
Proofpoint mengatakan juga mengamati file HTML yang didistribusikan secara langsung sebagai lampiran pada pesan phishing. Dalam variasi serangan ini, korban diperintahkan untuk mengklik tautan tertanam dalam file HTML, menghasilkan pengunduhan arsip ZIP yang mencakup file PDF jinak dan file shortcut windows (LNK).
Ketika LNK dijalankan, ia mengeksekusi PowerShell yang dikodekan Base64 untuk menjatuhkan file yang dikodekan JavaScript yang disebut “tema.jse” menggunakan skrip visual basic. Malware JSE, pada gilirannya, menghubungi URL yang dikendalikan oleh penyerang dan menjalankan respons dari server melalui PowerShell. Sifat pasti dari muatan saat ini tidak diketahui.
Selain itu, TA406 telah terlihat berusaha memanen kredensial dengan mengirim pesan peringatan keamanan Microsoft palsu ke entitas pemerintah Ukraina dari akun Protonmail, memperingatkan mereka tentang aktivitas masuk yang mencurigakan dari alamat IP yang terletak di Amerika Serikat dan mendesak mereka untuk memverifikasi login dengan mengunjungi tautan.
Sementara halaman panen kredensial belum pulih, domain yang dikompromikan yang sama dikatakan telah digunakan di masa lalu untuk mengumpulkan informasi login Naver.
“Kampanye pemanenan kredensial ini terjadi sebelum upaya penyebaran malware dan menargetkan beberapa pengguna yang sama kemudian ditargetkan dengan kampanye pengiriman HTML,” kata Proofpoint. “TA406 kemungkinan besar mengumpulkan intelijen untuk membantu kepemimpinan Korea Utara menentukan risiko saat ini pada pasukannya yang sudah ada di teater, serta kemungkinan bahwa Rusia akan meminta lebih banyak pasukan atau persenjataan.”
“Tidak seperti kelompok Rusia yang kemungkinan telah ditugaskan untuk mengumpulkan informasi medan perang taktis dan penargetan pasukan Ukraina in situ, TA406 biasanya berfokus pada upaya pengumpulan intelijen politik yang lebih strategis.”
 |
| Rantai serangan Kimsuky yang menargetkan Korea Selatan |
Pengungkapan ini datang karena grup Konni telah dikaitkan dengan entitas penargetan kampanye multi-tahap multi-tahap yang canggih di Korea Selatan dengan arsip ZIP yang berisi file LNK, yang menjalankan skrip PowerShell untuk mengekstrak arsip kabin dan akhirnya mengirimkan malware skrip batch yang mampu mengumpulkan data sensitif dan mengeksfiltrasinya ke server remote.
Temuan ini juga cocok dengan kampanye phishing tombak yang diatur oleh Kimsuky untuk menargetkan lembaga pemerintah di Korea Selatan dengan memberikan malware pencuri yang mampu membangun komunikasi komandan dan kontrol (C2 atau C&C) dan file dompet exfiltrating, data browser web, dan informasi dompet cryptocurrency cryptocurrency.
 |
| Rantai serangan kimsuky memberikan kerikil |
Menurut perusahaan cybersecurity Korea Selatan Ahnlab, Kimsuky juga telah diamati menyebarkan Pebbledash sebagai bagian dari urutan infeksi multi-tahap yang dimulai melalui phishing tombak. Trojan disebabkan oleh pemerintah AS dengan kelompok Lazarus pada Mei 2020.
“Sementara grup Kimsuky menggunakan berbagai jenis malware, dalam kasus Pebbledash, mereka menjalankan malware berdasarkan file LNK oleh tombak-phishing pada tahap akses awal untuk meluncurkan serangan mereka,” katanya.
“Mereka kemudian menggunakan skrip PowerShell untuk membuat penjadwal tugas dan mendaftarkannya untuk eksekusi otomatis. Melalui komunikasi dengan server C&C berbasis Soket TCP, grup menginstal beberapa malware dan alat termasuk Pebbledash.”
Konni dan Kimsuky jauh dari satu -satunya aktor ancaman Korea Utara yang fokus pada Seoul. Baru -baru ini pada Maret 2025, entitas Korea Selatan telah ditemukan berada di ujung penerima kampanye lain yang dilakukan oleh APT37, yang juga disebut scarcruft.
Dijuluki Operation Toybox Story, serangan phishing tombak memilih beberapa aktivis yang berfokus pada Korea Utara, per Pusat Keamanan Genians (GSC). Serangan phishing tombak pertama yang diamati terjadi pada 8 Maret 2025.
“Email itu berisi tautan dropbox yang mengarah ke arsip terkompresi yang menyertakan file jalan pintas berbahaya (LNK),” kata perusahaan Korea Selatan itu. “Saat diekstraksi dan dieksekusi, file LNK mengaktifkan malware tambahan yang berisi kata kunci 'mainan.'”
 |
| Rantai serangan cerita toybox apt37 |
File LNK dikonfigurasi untuk meluncurkan file HWP umpan dan menjalankan perintah PowerShell, yang mengarah ke pelaksanaan file bernama Toy03.bat, Toy02.bat, dan Toy01.bat (dalam urutan itu), yang terakhir berisi Shellcode untuk meluncurkan Rokrat, malwar matah yang terkait dengan APT37.
Rokrat dilengkapi untuk mengumpulkan informasi sistem, menangkap tangkapan layar, dan menggunakan tiga layanan cloud yang berbeda, termasuk PCLOUD, YANDEX, dan Dropbox untuk C2.
“Aktor ancaman mengeksploitasi layanan cloud yang sah sebagai infrastruktur C2 dan terus memodifikasi file pintasan (LNK) sambil berfokus pada teknik serangan tanpa filless untuk menghindari deteksi oleh perangkat lunak antivirus yang dipasang pada titik akhir target,” kata Genians.
