17 de marzo de 2026

Konni usa KakaoTalk para propagar malware EndRAT mediante phishing

Konni usa KakaoTalk para propagar malware EndRAT mediante phishing

El grupo de hackers norcoreano Konni está utilizando correos electrónicos de phishing (engaño por correo electrónico) para infectar ordenadores y, una vez dentro, aprovechan la aplicación de mensajería KakaoTalk para enviar malware a los contactos de la víctima. La empresa de ciberseguridad surcoreana Genians ha bautizado esta campaña como un ataque de múltiples etapas que combina persistencia a largo plazo, robo de información y redistribución basada en cuentas.

Cómo funciona el ataque

El ataque comienza con un correo electrónico de spear-phishing (un tipo de phishing dirigido a personas específicas) que engaña a la víctima para que abra un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Al ejecutarlo, este archivo LNK descarga malware adicional desde un servidor externo, crea una tarea programada para mantenerse activo y ejecuta el malware, mientras muestra un documento PDF falso para distraer a la víctima.

  • El malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT). Los RATs permiten a los atacantes controlar remotamente el ordenador infectado, accediendo a archivos, ejecutando comandos y transfiriendo datos.
  • Los investigadores encontraron rastros de otros RATs (RftRAT y RemcosRAT) en los equipos infectados, lo que sugiere que los atacantes consideraban a la víctima un objetivo valioso y querían asegurarse el acceso incluso si un RAT era detectado.
  • Un aspecto clave del ataque es el uso de la aplicación KakaoTalk instalada en el sistema infectado para enviar archivos maliciosos (en forma de archivos ZIP) a otros contactos de la víctima. Esto convierte a la víctima en un intermediario para propagar el ataque a más personas.

A quién afecta

Este ataque se dirige principalmente a personas interesadas en temas relacionados con Corea del Norte, utilizando como cebo documentos que simulan ser materiales informativos sobre el país. Las víctimas iniciales son engañadas mediante correos electrónicos que simulan ser invitaciones a dar charlas sobre derechos humanos en Corea del Norte.

Qué significa esto para ti

Este ataque demuestra la importancia de ser cauteloso con los correos electrónicos y archivos adjuntos, incluso si parecen provenir de fuentes confiables. Es fundamental verificar la autenticidad de los remitentes y evitar abrir archivos sospechosos. Para las empresas, esto subraya la necesidad de educar a los empleados sobre las tácticas de phishing y de implementar medidas de seguridad robustas, como la autenticación de dos factores y la segmentación de la red, para limitar el impacto de un posible ataque.

Fuente: https://www.genians.co.kr/en/blog/threat_intelligence/kakaotalk
Siguiente → Vulnerabilidad en Wing FTP Server expone...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Vulnerabilidad en Wing FTP Server expone información sensible: urge actualizar
Ataque 'GlassWorm' usa 'tokens' robados de GitHub para inyectar 'malware' en repositorios de Python
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio