Preventivo sconto multi-licenza
Database delle minacce Malware EndRAT Malware

EndRAT Malware

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Strumenti di amministrazione remota
Traduci in:

Una sofisticata campagna informatica attribuita al gruppo di minaccia Konni dimostra un approccio calcolato all'infiltrazione a lungo termine, all'esfiltrazione di dati e alla propagazione laterale. Al centro di questa operazione si trova il malware EndRAT, un potente trojan di accesso remoto progettato per persistere ed estrarre silenziosamente informazioni sensibili, sfruttando canali di comunicazione affidabili per espandere la propria portata.

Punto di ingresso ingannevole: tattiche di spear-phishing mirate.

L'intrusione inizia con un'e-mail di spear-phishing accuratamente orchestrata, camuffata da avviso ufficiale che nomina il destinatario a docente sui diritti umani in Corea del Nord. Questa tattica di ingegneria sociale è progettata per sfruttare la credibilità e la curiosità.

Una volta che il destinatario apre l'archivio ZIP allegato, viene eseguito un file di collegamento di Windows (LNK) dannoso. Questa azione avvia una catena di infezione a più fasi:

  • Il file LNK recupera un payload secondario da un server remoto
  • La persistenza viene stabilita tramite attività programmate per garantire l'accesso a lungo termine
  • Viene visualizzato un documento PDF di distrazione per ingannare la vittima mentre processi dannosi vengono eseguiti in background.

Questo compromesso iniziale consente l'implementazione di EndRAT senza destare sospetti immediati.

EndRAT scatenato: controllo persistente ed esfiltrazione dei dati

EndRAT (noto anche come EndClient RAT), sviluppato utilizzando AutoIt, costituisce la spina dorsale operativa dell'attacco. Una volta integrato nel sistema, consente il controllo remoto completo dell'host compromesso.

Le principali funzionalità di EndRAT includono:

  • Accesso remoto alla shell per l'esecuzione dei comandi
  • Manipolazione del file system ed esfiltrazione dei dati
  • Trasferimento dati sicuro tra vittima e aggressore
  • Mantenimento di una presenza costante attraverso meccanismi furtivi

Il malware rimane nascosto per lunghi periodi, consentendo la sorveglianza continua e l'estrazione di documenti interni e dati sensibili.

Stratificazione delle minacce: molteplici RAT per la resilienza

Ulteriori analisi forensi rivelano che EndRAT non viene distribuito in isolamento. Nell'ambiente compromesso vengono introdotti componenti dannosi aggiuntivi, tra cui script basati su AutoIt e collegati a RftRAT e RemcosRAT.

Questa strategia di implementazione a più livelli indica che gli obiettivi di alto valore sono soggetti a meccanismi di controllo ridondanti, garantendo la continuità operativa anche se una variante di malware viene rilevata o rimossa. La presenza di più famiglie di RAT (Remote Access Trojan) aumenta significativamente la capacità dell'attaccante di mantenere l'accesso e di adattarsi alle misure difensive.

Sfruttare la fiducia: KakaoTalk come canale di distribuzione di malware

Una caratteristica distintiva di questa campagna è l'abuso dell'applicazione desktop KakaoTalk installata sui sistemi infetti. Sfruttando le sessioni utente autenticate, gli aggressori trasformano le vittime in inconsapevoli distributori di malware.

Utilizzando l'account compromesso, file ZIP dannosi vengono inviati selettivamente ai contatti all'interno della rete della vittima. Questi file sono spesso camuffati da contenuti relativi alla Corea del Nord, aumentando la probabilità di interazione ed esecuzione.

Questa tattica sfrutta i rapporti di fiducia consolidati, migliorando significativamente i tassi di successo dell'infezione e consentendo movimenti laterali mirati all'interno delle reti sociali e professionali.

Evoluzione delle tattiche: dall’abuso di messaggistica al sabotaggio dei dispositivi.

Questa campagna si basa su attività precedentemente osservate nel novembre 2025, quando lo stesso gruppo di hacker ha utilizzato sessioni KakaoTalk per distribuire archivi dannosi. Durante quell'operazione, gli aggressori hanno anche sfruttato credenziali Google rubate per avviare la cancellazione remota dei dati dai dispositivi Android delle vittime.

L'uso continuato delle piattaforme di messaggistica evidenzia una strategia in evoluzione, incentrata sul furto di account e sui canali di comunicazione affidabili, piuttosto che sulle tradizionali tecniche di distribuzione di massa.

Valutazione strategica: un modello di minaccia persistente e adattivo

Questa operazione esemplifica una struttura di attacco altamente coordinata e a più fasi che si estende ben oltre la compromissione iniziale. Combinando spear-phishing, persistenza furtiva, accesso remoto avanzato tramite EndRAT e propagazione basata sugli account, l'attore della minaccia raggiunge profondità e ampiezza nella sua strategia di intrusione.

Il targeting selettivo dei contatti, combinato con contenuti esca accuratamente studiati, sottolinea un approccio deliberato e basato sull'intelligence. L'affidamento a EndRAT come meccanismo di controllo centrale ne rafforza il ruolo di strumento critico nelle moderne operazioni di spionaggio informatico, consentendo l'accesso prolungato, il furto di dati e catene di infezione scalabili attraverso reti affidabili.

Tendenza

I più visti

Caricamento in corso...