Un grupo respaldado por Corea del Norte secuestra el Find Hub de Google en una campaña de robo dedent.
El grupo de hackers norcoreano Konni ha descubierto una nueva serie de ataques que, por primera vez, utilizan la función de tracde activos Find Hub de Google. Estos ataques tienen como objetivo dispositivos Android y Windows para robar datos y obtener control remoto.
La actividad detectada a principios de septiembre de 2025 reveló que los ataques pueden explotar los servicios tracde activos de Google, Find Hub, lo que conlleva la eliminación no autorizada de datos personales.
El ataque comienza con una cadena de ataques en la que Konni envía correos electrónicos de spear-phishing a las víctimas para obtener acceso a sus ordenadores. A continuación, utilizan las sesiones de la aplicación de chat KakaoTalk de las víctimas, donde están conectadas, para enviar archivos maliciosos a sus contactos en forma de archivo ZIP.
El Centro de Seguridad Genians (GSC) declaró en un informe técnico: “Los atacantes se hicieron pasar por consejeros psicológicos y activistas de derechos humanos norcoreanos, distribuyendo malware disfrazado de programas para aliviar el estrés”.
Un grupo de ciberseguridad surcoreano afirma que el malware está diseñado para operaciones centradas en Corea.
Según los investigadores, los correos electrónicos de spear-phishing parecen provenir de empresas legítimas, como el Servicio Nacional de Impuestos. Esta táctica engaña a los usuarios para que abran archivos adjuntos maliciosos que contienen troyanos de acceso remoto, como Lilith RAT, que puede tomar el control de los ordenadores infectados y enviar malware adicional.
El atacante puede permanecer oculto en el ordenador comprometido durante más de un año, espiando a través de la webcam y operando el sistema cuando el usuario está ausente. GSC declaró : «En este proceso, el acceso obtenido durante la intrusión inicial permite el control del sistema y la recopilación de información adicional, mientras que las tácticas de evasión permiten el ocultamiento a largo plazo».
Los hackers pueden robar lasdentde las cuentas de Google y Naver de la víctima. Tras obtener las contraseñas robadas de Google, las utilizan para acceder a Google Find Hub y borrar sus dispositivos de forma remota.
Por ejemplo, estos hackers accedieron a una cuenta de correo electrónico de recuperación vinculada a Naver y eliminaron los correos de alerta de seguridad de Google. Además, vaciaron la papelera de la bandeja de entrada para ocultar sus trac.
Los hackers también utilizan un archivo ZIP. Este se propaga mediante una aplicación de mensajería que contiene un paquete malicioso de Microsoft Installer (MSI) llamado “Stress Clear.msi”. Este paquete utiliza una firma legítima proporcionada a una empresa china para autenticar la apariencia de la aplicación. Una vez ejecutada, utiliza un script por lotes para realizar la configuración básica.
Luego ejecuta un script de Visual Basic (VBScript) que muestra un mensaje de error falso sobre un problema de compatibilidad del paquete de idioma mientras los comandos maliciosos se ejecutan en segundo plano.
El malware es similar a Lilith RAT en algunos aspectos, pero se le ha dado el nombre en clave EndRAT (también conocido como EndClient RAT por el investigador de seguridad Ovi Liber) debido a los cambios que se han dent .
Genians afirmó que los actores del grupo APT Konni también utilizaron un script de AutoIt para ejecutar el troyano Remcos RAT versión 7.0.4, cuya existencia fue divulgada públicamente el 10 de septiembre de 2025 por el grupo responsable de su mantenimiento. Actualmente, los hackers están utilizando versiones más recientes del troyano en sus ataques. También se ha detectado Quasar RAT y RftRAT, otro troyano utilizado por Kimsuky en 2023, en los dispositivos objetivo.
La empresa surcoreana de ciberseguridad afirmó: “Esto sugiere que el malware está diseñado para operaciones centradas en Corea y que obtener los datos relevantes y realizar un análisis exhaustivo requiere un esfuerzo considerable”.
El ímpetu de los hackers respaldados por Corea del Norte crece
Este ataque es defiduda una continuación de la campaña Konni APT, que está vinculada a los grupos Kimsuky y APT 37 que cuentan con el respaldo del gobierno de Corea del Norte.
Al mismo tiempo, ENKI reveló que el Grupo Lazarus utilizó una versión actualizada del malware Comebacker en ataques contra empresas de defensa y aeroespaciales, empleando documentos de Microsoft Word especialmente diseñados como señuelo en una operación de espionaje. Se hacían pasar por empleados de Airbus, el Grupo Edge y el Instituto Indio de Tecnología de Kanpur para engañar a la gente.
Mientras tanto, según informa Cryptopolitan, la viceministra segunda de Asuntos Exteriores, Kim Ji-na, anunció que Corea del Sur está considerando sanciones contra Corea del Norte por el desenfrenado crimen con criptomonedas, y que la cooperación con Estados Unidos es fundamental.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .
Artículos Recomendados
