El cluster norcoreano Konni ha ampliado su arsenal táctico al abusar de Google Find Hub (antes Find My Device) para localizar, bloquear y ejecutar el restablecimiento de fábrica de teléfonos Android comprometidos. Según Genians, la campaña focaliza usuarios en Corea del Sur y se inicia mediante phishing en KakaoTalk, aprovechando perfiles suplantados de organismos gubernamentales para ganar credibilidad y maximizar el alcance.
Cadena de ataque: KakaoTalk, instaladores firmados y RAT modulares
Los mensajes fraudulentos, supuestamente provenientes de la Agencia Tributaria, la policía u otras instituciones, distribuyen MSI firmados o archivos ZIP. Al ejecutarse, un script VBS muestra un falso error de “paquete de idiomas” para distraer, mientras un BAT inyecta un script AutoIT, lo persiste vía Programador de tareas y establece conexión con el C2.
Con el pie dentro, los operadores descargan módulos de RemcosRAT, QuasarRAT y RftRAT para control encubierto, exfiltración y robo de credenciales. Este enfoque modular permite cambiar rápidamente capacidades y evadir firmas estáticas, incrementando la resiliencia de la infraestructura de mando y control.
Toma de cuentas y uso malicioso de Google Find Hub
Una vez comprometido el equipo, las herramientas roban credenciales de Google y Naver, acceden a las cuentas, alteran parámetros de seguridad y borran indicios del acceso no autorizado. Con la cuenta Google bajo control, los atacantes activan Find Hub, el mecanismo oficial para localizar dispositivos perdidos, para rastrear coordenadas, bloquear el terminal o iniciar el borrado total. Genians destaca que Konni dispara el borrado cuando la víctima está fuera de su domicilio, dificultando la respuesta y la recuperación.
Vínculos con Kimsuky y APT37 y giro hacia tácticas destructivas
Los objetivos, la infraestructura y las TTP muestran cruces con Kimsuky (Emerald Sleet) y APT37 (ScarCruft), actores norcoreanos que históricamente han apuntado a sectores educativo, gubernamental y de criptomonedas. Si antes predominaba la intrusión silenciosa orientada a espionaje, la campaña actual exhibe un claro desplazamiento hacia efectos destructivos en móviles, elevando la complejidad forense y el tiempo de recuperación.
Incidente ilustrativo: ingeniería social de alta confianza
El 5 de septiembre de 2025, el perfil de un consultor surcoreano que asiste a desertores norcoreanos fue comprometido. Aprovechando su reputación en KakaoTalk, los atacantes enviaron a un estudiante refugiado un archivo presentado como “programa para aliviar el estrés”. Tras la infección del PC y el restablecimiento de fábrica del smartphone, continuaron propagando adjuntos maliciosos a los contactos desde la sesión de escritorio del mensajero.
Análisis TTP: funciones legítimas convertidas en arma
La operación ejemplifica la tendencia living off the land en el ámbito cloud: en lugar de explotar vulnerabilidades, se instrumentalizan funcionalidades legítimas de Google. Google confirmó que no se explotaron fallas en Android ni en Find Hub; el éxito depende de la toma previa del PC y del secuestro de cuentas. Este vector reduce la probabilidad de detección por firmas y dificulta la contención, ya que las acciones se asemejan a actividades legítimas del titular de la cuenta.
Medidas de mitigación prioritarias
Para usuarios
Active MFA con passkeys o llaves FIDO, revise sesiones y dispositivos en su cuenta Google, y desconfíe de adjuntos enviados por “autoridades” vía mensajería. Limite la ejecución de MSI/VBS/BAT/AutoIT, y en Find My Device verifique dispositivos vinculados y métodos de recuperación, cerrando sesiones inactivas.
Para organizaciones
Implemente EDR con control de scripts (VBS/Batch/AutoIT), políticas para bloquear MSI no confiables y monitoreo de accesos a Google Workspace/Naver con analítica geográfica y de comportamiento. Habilite acceso condicional y MFA/passkeys obligatorios, alerte sobre acciones de Find My Device cuando sea posible y revoque sesiones automáticamente ante señales de RAT.
El caso Konni demuestra que la caída de un único PC puede desencadenar un impacto en cascada sobre móviles sin “zero-days”. Fortalezca la autenticación, endurezca políticas de ejecución de scripts y entrene de forma continua frente al phishing. Revise periódicamente sesiones activas y auditorías de seguridad: son pasos concretos que reducen la superficie de ataque y neutralizan el abuso de funciones legítimas en la nube.
