{"id":271,"date":"2026-03-17T12:02:25","date_gmt":"2026-03-17T12:02:25","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/konni-implementa-endrat-mediante-phishing-y-utiliza-kakaotalk-para-propagar-malware-cyberdefensa-mx\/"},"modified":"2026-03-17T12:02:25","modified_gmt":"2026-03-17T12:02:25","slug":"konni-implementa-endrat-mediante-phishing-y-utiliza-kakaotalk-para-propagar-malware-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/konni-implementa-endrat-mediante-phishing-y-utiliza-kakaotalk-para-propagar-malware-cyberdefensa-mx\/","title":{"rendered":"Konni implementa EndRAT mediante phishing y utiliza KakaoTalk para propagar malware \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que los actores de amenazas norcoreanos env\u00edan phishing para comprometer objetivos y obtener acceso a la aplicaci\u00f3n de escritorio KakaoTalk de la v\u00edctima para distribuir cargas \u00fatiles maliciosas a ciertos contactos.<\/p>\n

La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como Konni<\/strong>.<\/p>\n

\u00abEl acceso inicial se logr\u00f3 a trav\u00e9s de un correo electr\u00f3nico de phishing disfrazado de aviso que nombraba al destinatario como un conferenciante de derechos humanos de Corea del Norte\u00bb, inform\u00f3 el Centro de Seguridad Genians (GSC). anotado<\/a> en un an\u00e1lisis.<\/p>\n

\u00abDespu\u00e9s de que el ataque de phishing tuvo \u00e9xito, la v\u00edctima ejecut\u00f3 un archivo LNK malicioso, lo que result\u00f3 en una infecci\u00f3n con malware de acceso remoto. El malware permaneci\u00f3 oculto y persistente en el terminal de la v\u00edctima durante un per\u00edodo prolongado, robando documentos internos e informaci\u00f3n confidencial\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se dice que el actor de amenazas permaneci\u00f3 en el host comprometido durante un per\u00edodo prolongado de tiempo, aprovechando el acceso no autorizado para desviar documentos internos y utilizar la aplicaci\u00f3n KakaoTalk para propagar selectivamente el malware a contactos espec\u00edficos.<\/p>\n

El ataque se caracteriza por abusar de la confianza asociada con las v\u00edctimas comprometidas para enga\u00f1ar y atrapar objetivos adicionales. Esta no es la primera vez que Konni emplea la aplicaci\u00f3n de mensajer\u00eda como vector de distribuci\u00f3n. En noviembre de 2025, se descubri\u00f3 que el grupo de piratas inform\u00e1ticos abusaba de las sesiones iniciadas en la aplicaci\u00f3n de chat KakaoTalk para enviar cargas \u00fatiles maliciosas a los contactos de las v\u00edctimas en forma de un archivo ZIP, al mismo tiempo que iniciaba un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.<\/p>\n

El punto de partida de la \u00faltima campa\u00f1a de ataque es un correo electr\u00f3nico de phishing que se utiliza como estrategia para enga\u00f1ar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Tras la ejecuci\u00f3n, el archivo LNK descarga una carga \u00fatil de la siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y, en \u00faltima instancia, ejecuta el malware, mientras muestra un documento PDF se\u00f1uelo al usuario como mecanismo de distracci\u00f3n.<\/p>\n

\"\"<\/a><\/div>\n

Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (tambi\u00e9n conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido a trav\u00e9s de capacidades como administraci\u00f3n de archivos, acceso remoto al shell, transferencia de datos y persistencia.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado del host infectado ha descubierto la presencia de varios artefactos maliciosos, incluidos scripts AutoIt correspondientes a RftRAT y RemcosRAT, lo que indica que el adversario consider\u00f3 que la v\u00edctima era lo suficientemente valiosa como para eliminar varias familias de RAT para mejorar la resistencia.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicaci\u00f3n KakaoTalk de la v\u00edctima instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. B\u00e1sicamente, esto convierte a las v\u00edctimas existentes en intermediarios para futuros ataques.<\/p>\n

\u00abEsta campa\u00f1a se eval\u00faa como una operaci\u00f3n de ataque de m\u00faltiples etapas que se extiende m\u00e1s all\u00e1 del simple phishing, combinando persistencia a largo plazo, robo de informaci\u00f3n y redistribuci\u00f3n basada en cuentas\u00bb, dijo Genians. \u00abEl actor seleccion\u00f3 ciertos contactos de la lista de amigos de la v\u00edctima y les envi\u00f3 archivos maliciosos adicionales. Al hacerlo, el atacante us\u00f3 nombres de archivos disfrazados de materiales que presentaban contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que los actores de amenazas norcoreanos env\u00edan phishing para comprometer objetivos y obtener acceso a la aplicaci\u00f3n de escritorio KakaoTalk de la v\u00edctima para distribuir cargas \u00fatiles maliciosas a ciertos contactos. La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,954,226,955,953,60,670,36,365,956,216],"class_list":["post-271","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-endrat","tag-implementa","tag-kakaotalk","tag-konni","tag-malware","tag-mediante","tag-para","tag-phishing","tag-propagar","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=271"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/271\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}