【安全圈】朝鲜黑客组织Konni滥用Google Find Hub 实施远程数据清除攻击

关键词

网络攻击

韩国网络安全公司Genians Security Center（GSC）披露，隶属于朝鲜的网络攻击组织Konni（又名 Earth Imp、Opal Sleet、Osmium、TA406、Vedalia）近期发动新一轮攻击行动，目标涵盖Android与Windows设备。此次行动不仅涉及数据窃取与远程控制，还首次滥用 Google 的资产追踪服务Find Hub（原 Find My Device）实现远程数据清除功能，具备极强的破坏性。

GSC 在技术报告中指出，攻击者伪装成心理咨询师或朝鲜人权活动人士，向目标投递伪装为“压力缓解程序”的恶意软件。针对 Android 设备的攻击尤其突出，其利用 Google Find Hub 的远程管理功能，在入侵后可直接执行设备重置，从而清除受害者的全部个人数据。该攻击活动自 2025 年 9 月初被发现，是 Konni 首次将合法云服务的管理功能武器化，用于远程摧毁移动设备数据。

整个攻击链条起始于鱼叉式钓鱼邮件。攻击者冒充韩国国税厅等合法机构，向特定目标发送带有恶意附件的电子邮件，诱使受害者下载并执行远程访问木马Lilith RAT。一旦受害者计算机被攻陷，攻击者便可远程控制设备、窃取数据，并利用受害者的KakaoTalk聊天会话向其联系人传播恶意文件。这些传播包通常以 ZIP 压缩档形式出现，内含名为“Stress Clear.msi”的安装程序。该程序滥用了中国某公司签发的合法数字签名以伪装可信，运行后会执行批处理脚本与 VBScript 脚本，向用户显示语言兼容性错误的假信息，而后台则在静默状态下部署恶意命令。

恶意脚本会启动名为EndRAT（又称 EndClient RAT）的远控程序。该程序通过计划任务机制每分钟执行一次，从外部 C2 服务器（116.202.99[.]218）接收指令，实现系统信息收集、文件传输、远程 Shell 执行、文件删除与程序启动等功能。安全研究人员指出，虽然 EndRAT 与 Lilith RAT 在部分行为上类似，但其代码结构有所差异，表明该工具为 Konni 专门改进的新型远控模块。

GSC 的分析还发现，攻击者在部分受害者系统中利用 AutoIt 脚本启动Remcos RAT 7.0.4，该版本由 Breaking Security 于 2025 年 9 月 10 日发布，显示出 Konni 正积极采用最新版本的商业化远控工具。此外，研究人员还检测到Quasar RAT与RftRAT的存在，后者曾被朝鲜另一组织Kimsuky于 2023 年使用。这一系列证据表明，该攻击活动高度聚焦韩国地区，攻击者在持续收集本地化数据，并投入大量资源进行深度伪装与持久渗透。

GSC 报告指出，Konni 在入侵 Windows 系统后，能够长时间隐藏自身踪迹，有时潜伏超过一年。攻击者可通过受感染主机的摄像头实施监控，在用户离开时远程操作系统，并窃取受害者的 Google 与 Naver 帐号凭证。更令人警惕的是，攻击者利用被盗的 Google 凭证登录受害者的 Find Hub 帐号，远程执行设备重置操作，彻底删除受害者手机数据。部分案例显示，攻击者甚至进入受害者的 Naver 备用邮箱，删除来自 Google 的安全警报邮件并清空回收站，以掩盖行为痕迹。

在 Konni 活动曝光的同时，另一朝鲜黑客组织Lazarus Group被发现使用新版Comebacker恶意软件，对航空航天与国防行业实施定向攻击。韩国安全公司ENKI指出，攻击者通过伪装为Airbus、Edge Group及印度理工学院坎普尔分校（IIT Kanpur）的 Word 文档引诱目标开启宏功能，从而加载并执行恶意组件。Comebacker 通过 HTTPS 与远程 C2 通信，循环接收加密指令，进行持续监控与数据窃取。目前虽尚未发现受害者，但其 C2 基础设施仍处于活跃状态。

与此同时，Kimsuky组织也被发现使用一种新型基于JavaScript的恶意加载器（Dropper）。该攻击以themes.js文件为起点，连接攻击者控制的服务器下载更多脚本代码，执行命令、窃取信息并加载第三阶段 Payload，同时创建计划任务每分钟运行一次初始脚本，并打开一个空白的 Word 文档作为诱饵。安全公司Pulsedive Threat Research指出，这种空文档虽无宏执行行为，但用于误导受害者并维持攻击进程的持久性。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！