Северокорейский кластер Konni расширил набор тактик, злоупотребляя Google Find Hub (ранее Find My Device) для дистанционного отслеживания местоположения и удаленного сброса Android-устройств до заводских настроек. По данным Genians, атаки нацелены на пользователей в Южной Корее и стартуют с фишинга в популярном мессенджере KakaoTalk.
Вектор атаки: KakaoTalk, вредоносные вложения и модульные RAT
Злоумышленники выдают себя за Национальную налоговую службу, полицию и другие ведомства, рассылая подписанные MSI-инсталляторы или ZIP-архивы. При запуске срабатывают два скрипта: VBS выводит «ошибку» о языковом пакете, отвлекая пользователя, а BAT внедряет AutoIT-скрипт, закрепляет его через планировщик задач и устанавливает связь с сервером управления. Далее подгружаются модули RemcosRAT, QuasarRAT и RftRAT, обеспечивающие скрытое управление, эксфильтрацию и кражу учетных данных.
Захват аккаунтов и злоупотребление Google Find Hub
После проникновения инструменты атакующих крадут логины и пароли к Google и Naver, входят в учетные записи жертв, изменяют параметры безопасности и удаляют следы взлома. Получив доступ к Google-аккаунту, злоумышленники запускают Find Hub — штатный механизм Android для поиска потерянных устройств: отслеживают координаты, блокируют аппарат или инициируют полное стирание данных. Исследователи отмечают, что Konni выбирает момент для стирания, когда жертва находится вне дома, чтобы максимизировать ущерб и затруднить реагирование.
Перекрестные связи с Kimsuky и APT37 и эскалация деструктивности
По целям и инфраструктуре активность Konni пересекается с северокорейскими группами Kimsuky (Emerald Sleet) и APT37 (ScarCruft), традиционно нацеленными на образовательные и государственные организации, а также криптовалютные компании. Ранее доминировали операции по тайному сбору данных через RAT, однако текущая кампания демонстрирует сдвиг к деструктивным сценариям с блокировкой и стиранием мобильных устройств, что усложняет восстановление и расследование инцидентов.
Реальный инцидент: целенаправленная социальная инженерия
Genians описывает кейс от 5 сентября 2025 года: был скомпрометирован аккаунт южнокорейского консультанта, помогающего северокорейским беженцам. Используя его доверенный профиль в KakaoTalk, атакующие разослали студенту-беженцу файл под видом «программы для снятия стресса». После заражения ПК и сброса смартфона к заводским настройкам злоумышленники продолжили рассылку вредоносных вложений по контактам жертвы, сохранив доступ к десктопной сессии мессенджера.
Зачем стирают смартфоны: изоляция, укрытие следов и подавление сигналов
Удаление данных со смартфонов решает для атакующих сразу несколько задач: изолировать жертву от связи и проверки событий безопасности, скрыть артефакты атаки, задержать восстановление учетных записей и помешать доставке push-уведомлений о подозрительной активности. Представители Google подтвердили, что уязвимости в Android или Find Hub не использовались: критическим условием успеха является предварительный захват ПК и кража учетных данных аккаунта.
Аналитика TTP: легитимные функции как оружие
Кампания иллюстрирует тренд «living-off-the-land» в облачном контексте: вместо эксплойтов злоумышленники монетизируют легитимные возможности экосистемы Google. Такая тактика снижает вероятность детектирования по сигнатурам и затрудняет блокировку, поскольку действия выглядят как обычная активность владельца аккаунта.
Практические меры защиты для пользователей и организаций
Для пользователей: включите двухфакторную аутентификацию (предпочтительно passkey или аппаратные ключи FIDO), проверьте активные сессии и устройства в аккаунте Google, ограничьте автозапуск MSI/скриптов на ПК, не открывайте вложения из мессенджеров от «ведомств». В настройках Find My Device проверьте привязанные устройства и методы восстановления, отключите неиспользуемые сессии.
Для организаций
Внедрите EDR с контролем выполнения скриптов (VBS/Batch/AutoIT), политики блокировки MSI из недоверенных источников, мониторинг входов в Google Workspace/Naver с гео- и поведенческой аналитикой, условный доступ и обязательную MFA/passkeys. Настройте оповещения о действиях Find My Device, где это поддерживается, и автоматизируйте отзыв сессий при выявлении RAT.
Случай Konni показывает, что компрометация одного ПК способна привести к каскаду последствий на мобильных устройствах без каких-либо «нулевых дней». Усиление MFA, использование passkeys, дисциплина работы с вложениями и жесткие политики выполнения скриптов значительно снижают риск. Проверяйте активные сеансы, аудит безопасности аккаунтов и регулярно тренируйте сотрудников по выявлению фишинга — эти меры остаются наиболее эффективными против злоупотребления легитим
