Der nordkoreanische Threat-Cluster Konni erweitert sein Arsenal: Nach erfolgreicher Kontoübernahme missbrauchen die Angreifer Google Find Hub (früher Find My Device), um Android-Geräte aus der Ferne zu orten, zu sperren und per Werksreset vollständig zu löschen. Laut der Analyse von Genians richtet sich die Kampagne primär gegen Nutzer in Südkorea und startet über gezieltes Phishing in KakaoTalk.
Angriffskette über KakaoTalk: signierte Installer, Skript-Loader und modulare RATs
Die Täuschung beginnt mit Nachrichten, die sich als staatliche Stellen (z. B. Steuerbehörde oder Polizei) ausgeben. Opfer erhalten signierte MSI-Installer oder ZIP-Archive. Nach dem Start werden zwei Skripte ausgeführt: Ein VBS-Skript blendet eine scheinbare Sprachpaket-Fehlermeldung ein, während ein Batch-Skript einen AutoIT-Loader installiert, über den Task Scheduler persistiert und eine C2-Verbindung aufbaut.
RemcosRAT, QuasarRAT und RftRAT: Zugriff, Exfiltration, Anmeldedaten
Anschließend werden Module wie RemcosRAT, QuasarRAT und RftRAT nachgeladen, um die Fernsteuerung zu verschleiern, Daten zu exfiltrieren und Zugangsdaten zu Google und Naver zu stehlen. Die TTPs decken u. a. Scripting (MITRE ATT&CK T1059), Scheduled Task/Job (T1053) und Valid Accounts (T1078) ab.
Kontoübernahme und Missbrauch von Google Find Hub/Find My Device
Mit kompromittierten Google-Anmeldedaten melden sich die Angreifer im Konto der Opfer an, passen Sicherheitseinstellungen an und löschen Spuren. Über Find Hub nutzen sie legitime Funktionen der Google-Ökosysteme: Standortverfolgung, Gerätesperre und Werksreset. Auffällig: Der Reset erfolgt häufig, wenn die betroffene Person nicht zu Hause ist, um Reaktionsmöglichkeiten zu minimieren.
Warum das Löschen taktisch sinnvoll ist
Das Zurücksetzen von Smartphones dient der Isolation der Opfer, der Spurenverwischung auf dem Endgerät und der Verzögerung von Wiederherstellungsprozessen. Zudem verhindert der Reset, dass Push-Benachrichtigungen zu verdächtigen Anmeldungen zugestellt werden. Google bestätigte, dass hierbei keine Schwachstellen in Android oder Find Hub ausgenutzt werden; Voraussetzung ist stets die vorherige Kompromittierung des PCs und die Erbeutung der Kontozugänge.
Verknüpfungen zu Kimsuky und APT37: von Spionage zu Destruktion
Zielauswahl und Infrastruktur überschneiden sich mit Kimsuky (Emerald Sleet) und APT37 (ScarCruft), die traditionell Bildungs-, Regierungs- und Krypto-Organisationen adressieren. Während zuvor vor allem datenzentrierte Spionage im Vordergrund stand, zeigt die aktuelle Welle eine Verschiebung hin zu destruktiven Effekten durch Gerätesperren und Werksresets – mit erheblicher Auswirkung auf Incident Response und Forensik.
Praxisfall: Social Engineering über vertrauenswürdige Identitäten
Ein dokumentierter Fall vom 5. September 2025 beschreibt die Kompromittierung des Kontos eines südkoreanischen Beraters, der nordkoreanische Geflüchtete unterstützt. Über dessen verifizierten KakaoTalk-Account wurde einem Studenten ein vermeintliches „Stressabbau-Tool“ zugespielt. Nach der Infektion folgten der Werksreset des Smartphones und weitere Malversendungen an Kontakte – gestützt durch die weiterhin aktive Desktop-Session des Messengers.
Einordnung: „Living off the Land“ im Cloud-Kontext
Die Kampagne illustriert den Trend, legitime Cloud-Funktionen als Angriffsvektor zu instrumentalisieren. Solche Aktivitäten ähneln regulärer Nutzung und sind schwerer signaturbasiert zu erkennen. Vergleichbare Muster wurden in mehreren staatlich unterstützten Kampagnen beobachtet, was die Relevanz verhaltensbasierter Erkennung unterstreicht.
Abwehrmaßnahmen für Nutzer und Organisationen
Für Nutzer: Aktivieren Sie starke MFA (bevorzugt Passkeys oder FIDO-Hardware-Keys), prüfen Sie regelmäßig aktive Sitzungen und Geräte im Google-Konto, deaktivieren/blockieren Sie die Ausführung von MSI und Skripten aus unbekannten Quellen, öffnen Sie keine Anhänge aus Messengern mit vorgeblich amtlichem Ursprung. Kontrollieren Sie in Find My Device die verknüpften Geräte und beenden Sie nicht benötigte Sitzungen.
Für Unternehmen: EDR, Richtlinien und Monitoring
Implementieren Sie EDR mit Kontrolle von VBS/Batch/AutoIT, Richtlinien zur Blockade unsignierter oder extern beschaffter MSI, sowie Login-Monitoring in Google Workspace/Naver mit Geo- und Verhaltensanalytik. Erzwingen Sie Conditional Access und Passkeys/MFA. Richten Sie, wo verfügbar, Alerts auf Find-My-Device-Aktionen ein und automatisieren Sie den Sitzungsentzug, sobald RAT-Indikatoren sichtbar werden.
Ein einzelner kompromittierter PC kann heute eine Kaskade bis zum kompletten Datenverlust auf mobilen Geräten auslösen – ganz ohne Zero-Day. Organisationen und Privatpersonen sollten jetzt Passkeys ausrollen, Skriptausführung strikt reglementieren, aktive Kontositzungen auditieren und Mitarbeitende regelmäßig zu Messenger-Phishing schulen. Wer seine Detektions- und Reaktionspfade an „Living-off-the-Land“-Taktiken anpasst, reduziert das Risiko erheblich und verkürzt die Zeit bis zur Eindämmung.
