El grupo Konni es una organización de ciberespionaje que se ha atribuido varios ataques dirigidos a Rusia, utilizando documentos de Microsoft Word en ruso para distribuir malware capaz de robar información sensible de los dispositivos Windows comprometidos. En este artículo, te explicaremos qué es el grupo Konni, cómo funciona su malware y cómo puedes protegerte de sus ataques.
El grupo Konni es un actor de amenazas que se cree que tiene vínculos con Corea del Norte, y que comparte similitudes con otro grupo conocido como Kimsuky (o APT37). El grupo Konni se ha centrado principalmente en objetivos relacionados con Rusia, como organizaciones gubernamentales, militares, diplomáticas y de medios de comunicación.
El grupo Konni lleva operando desde al menos 2014, y ha utilizado diferentes tipos de malware para infiltrarse en los sistemas de sus víctimas, como el troyano de acceso remoto (RAT) Konni, el backdoor NOKKI y el malware de robo de información CARROTBAT.
El grupo Konni suele emplear técnicas de phishing por correo electrónico para engañar a sus víctimas y hacerles abrir documentos maliciosos que contienen macros de Visual Basic for Applications (VBA) que ejecutan el malware. Estos documentos suelen estar escritos en ruso y tratan temas de interés para los objetivos del grupo, como asuntos políticos, militares o de seguridad.
Cara Lin, una investigadora de Fortinet FortiGuard Labs, señaló que esta campaña se basa en un troyano de acceso remoto (RAT) que puede extraer información y ejecutar comandos en dispositivos comprometidos. Este grupo de ciberespionaje suele dirigirse a Rusia y utiliza correos electrónicos de phishing y documentos maliciosos como puntos de entrada para sus ataques.
En ataques recientes documentados por Knowsec y ThreatMon, se aprovechó una vulnerabilidad en WinRAR (CVE-2023-38831), así como scripts de Visual Basic ofuscados para eliminar el RAT de Konni y un script de Windows Batch que recopila datos de las máquinas infectadas.
ThreatMon afirmó que los objetivos principales de Konni incluyen la filtración de datos y actividades de espionaje, y que utilizan una variedad de malware y herramientas, adaptando constantemente sus tácticas para evitar la detección y la atribución.
El último ataque observado por Fortinet involucra un documento de Word con macros que, cuando se habilitan, muestran un artículo en ruso que aparentemente trata sobre "Evaluaciones occidentales del progreso de la operación militar especial". Luego, la macro de Visual Basic para aplicaciones (VBA) inicia un script por lotes provisional que realiza comprobaciones del sistema, omite el control de cuentas de usuario (UAC) y prepara el terreno para la implementación de un archivo DLL con capacidades de recopilación y extracción de información.
Según Lin, la carga útil del malware incluye una forma de eludir el UAC y establece comunicación cifrada con un servidor C2, lo que permite al grupo de amenazas ejecutar comandos con privilegios.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
Konni no es el único grupo norcoreano que ha dirigido su atención a Rusia. También se ha documentado que el grupo ScarCruft (también conocido como APT37) ha atacado empresas comerciales y de ingeniería de misiles en el país, según evidencia recopilada por Kaspersky, Microsoft y SentinelOne.
Esta revelación se produce poco después de que Solar, la división de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom, informara que la mayoría de los ataques contra la infraestructura del país provienen de actores de amenazas de Asia, principalmente de China y Corea del Norte. Además, se menciona que el grupo norcoreano Lazarus también está activo en territorio ruso y que en noviembre aún tenía acceso a varios sistemas en el país.
Para protegerte de los ataques del grupo Konni, debes seguir una serie de buenas prácticas de seguridad, como:
Te podrá interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
El grupo Konni es una amenaza persistente y sofisticada que ataca a objetivos relacionados con Rusia, utilizando documentos de Word en ruso para distribuir malware que roba información y ejecuta comandos en los dispositivos comprometidos. Para protegerte de sus ataques, debes seguir las mejores prácticas de seguridad y estar alerta ante cualquier indicio de actividad maliciosa.