Phần mềm độc hại EndRAT

Một chiến dịch tấn công mạng tinh vi được cho là do nhóm tội phạm mạng Konni thực hiện cho thấy cách tiếp cận được tính toán kỹ lưỡng đối với việc xâm nhập lâu dài, đánh cắp dữ liệu và lây lan ngang. Trọng tâm của chiến dịch này là phần mềm độc hại EndRAT, một loại trojan truy cập từ xa mạnh mẽ được thiết kế để duy trì sự hiện diện và âm thầm trích xuất thông tin nhạy cảm, đồng thời tận dụng các kênh liên lạc đáng tin cậy để mở rộng phạm vi hoạt động.

Điểm xâm nhập đánh lừa: Chiến thuật tấn công lừa đảo có chủ đích (Spear-Phishing)

Vụ xâm nhập bắt đầu bằng một email lừa đảo có chủ đích được soạn thảo kỹ lưỡng, ngụy trang dưới dạng thông báo chính thức bổ nhiệm người nhận làm giảng viên về nhân quyền Triều Tiên. Chiến thuật kỹ thuật xã hội này được thiết kế để lợi dụng lòng tin và sự tò mò của người nhận.

Khi người nhận mở tệp tin ZIP đính kèm, một tệp tin phím tắt Windows (LNK) độc hại sẽ được thực thi. Hành động này khởi đầu một chuỗi lây nhiễm nhiều giai đoạn:

• Tệp LNK truy xuất tải trọng phụ từ máy chủ từ xa.
• Tính năng duy trì hoạt động được thiết lập thông qua các tác vụ theo lịch trình để đảm bảo quyền truy cập lâu dài.
• Một tài liệu PDF giả mạo được hiển thị để đánh lạc hướng nạn nhân trong khi các tiến trình độc hại thực thi ngầm.

Sự thỏa hiệp ban đầu này cho phép triển khai EndRAT mà không gây ra nghi ngờ ngay lập tức.

EndRAT được giải phóng: Kiểm soát liên tục và đánh cắp dữ liệu.

EndRAT (còn được gọi là EndClient RAT), được phát triển bằng AutoIt, đóng vai trò là xương sống hoạt động của cuộc tấn công. Sau khi được nhúng vào hệ thống, nó cho phép điều khiển từ xa hoàn toàn máy chủ bị xâm nhập.

Các khả năng chính của EndRAT bao gồm:

• Truy cập shell từ xa để thực thi lệnh.
• Thao túng hệ thống tập tin và rò rỉ dữ liệu
• Truyền dữ liệu an toàn giữa nạn nhân và kẻ tấn công
• Duy trì chỗ đứng vững chắc thông qua các cơ chế tàng hình

Phần mềm độc hại này ẩn mình trong thời gian dài, cho phép theo dõi liên tục và trích xuất các tài liệu nội bộ cũng như dữ liệu nhạy cảm.

Triển khai mối đe dọa nhiều lớp: Sử dụng nhiều RAT để tăng cường khả năng phục hồi

Phân tích pháp y sâu hơn cho thấy EndRAT không được triển khai một cách độc lập. Các thành phần độc hại bổ sung, bao gồm các kịch bản dựa trên AutoIt liên kết với RftRAT và RemcosRAT, đã được đưa vào môi trường bị xâm nhập.

Chiến lược triển khai nhiều lớp này cho thấy các mục tiêu có giá trị cao được kiểm soát bằng các cơ chế dự phòng, đảm bảo tính liên tục hoạt động ngay cả khi một chủng phần mềm độc hại bị phát hiện hoặc loại bỏ. Sự hiện diện của nhiều họ RAT giúp tăng cường đáng kể khả năng của kẻ tấn công trong việc duy trì quyền truy cập và thích ứng với các biện pháp phòng thủ.

Lợi dụng lòng tin: KakaoTalk như một kênh phát tán phần mềm độc hại

Một đặc điểm nổi bật của chiến dịch này là việc lạm dụng ứng dụng KakaoTalk trên máy tính để bàn được cài đặt trên các hệ thống bị nhiễm. Bằng cách lợi dụng các phiên đăng nhập đã được xác thực của người dùng, kẻ tấn công biến nạn nhân thành những người phát tán phần mềm độc hại mà không hề hay biết.

Sử dụng tài khoản bị xâm nhập, các tệp ZIP độc hại được gửi có chọn lọc đến các liên hệ trong mạng lưới của nạn nhân. Những tệp này thường được ngụy trang dưới dạng nội dung liên quan đến Triều Tiên, làm tăng khả năng tương tác và thực thi.

Chiến thuật này khai thác các mối quan hệ tin cậy đã được thiết lập, giúp cải thiện đáng kể tỷ lệ lây nhiễm thành công và cho phép di chuyển ngang có mục tiêu trong các mạng lưới xã hội và nghề nghiệp.

Sự tiến hóa của các chiến thuật: Từ lạm dụng tin nhắn đến phá hoại thiết bị

Chiến dịch này dựa trên hoạt động đã được ghi nhận trước đó vào tháng 11 năm 2025, khi cùng một nhóm tin tặc đã sử dụng các phiên KakaoTalk để phát tán các tệp tin độc hại. Trong chiến dịch đó, những kẻ tấn công cũng đã lợi dụng thông tin đăng nhập Google bị đánh cắp để thực hiện xóa dữ liệu từ xa trên các thiết bị Android của nạn nhân.

Việc tiếp tục sử dụng các nền tảng nhắn tin cho thấy một chiến lược đang phát triển, tập trung vào việc chiếm đoạt tài khoản và các kênh liên lạc đáng tin cậy thay vì các kỹ thuật phân phối hàng loạt truyền thống.

Đánh giá chiến lược: Mô hình mối đe dọa dai dẳng và thích ứng

Chiến dịch này là một ví dụ điển hình cho khung tấn công đa giai đoạn, phối hợp chặt chẽ, vượt xa giai đoạn xâm nhập ban đầu. Bằng cách kết hợp tấn công lừa đảo có chủ đích (spear-phishing), khả năng duy trì hoạt động lén lút, truy cập từ xa nâng cao thông qua EndRAT và lây lan dựa trên tài khoản, kẻ tấn công đạt được cả chiều sâu và phạm vi trong chiến lược xâm nhập của mình.

Việc nhắm mục tiêu có chọn lọc vào các liên hệ, kết hợp với nội dung mồi nhử được dàn dựng cẩn thận, nhấn mạnh một phương pháp tiếp cận có chủ đích và dựa trên thông tin tình báo. Việc dựa vào EndRAT như cơ chế điều khiển trung tâm củng cố vai trò của nó như một công cụ quan trọng trong các hoạt động gián điệp mạng hiện đại, cho phép truy cập liên tục, đánh cắp dữ liệu và các chuỗi lây nhiễm có thể mở rộng trên các mạng đáng tin cậy.