EndRAT恶意软件

翻译为：

据称由 Konni 威胁组织发起的复杂网络攻击活动，展现了其精心策划的长期渗透、数据窃取和横向传播策略。此次行动的核心是 EndRAT 恶意软件，这是一款功能强大的远程访问木马，旨在保持持久性并悄无声息地窃取敏感信息，同时利用可信通信渠道扩大其攻击范围。

入侵始于一封精心设计的钓鱼邮件，邮件伪装成官方通知，声称任命收件人为朝鲜人权方面的讲师。这种社会工程学策略旨在利用收件人的信任和好奇心。

一旦收件人打开附件中的 ZIP 压缩文件，恶意 Windows 快捷方式 (LNK) 文件就会被执行。此操作会启动多阶段感染链：

这一初步妥协使得 EndRAT 的部署能够在不立即引起怀疑的情况下进行。

EndRAT（也称为 EndClient RAT）使用 AutoIt 开发，是此次攻击的核心。一旦嵌入系统，它就能对受感染的主机进行完全远程控制。

EndRAT 的主要功能包括：

该恶意软件可以长时间保持隐藏状态，从而能够持续监视和提取内部文件和敏感数据。

进一步的取证分析表明，EndRAT并非独立部署。其他恶意组件，包括与RftRAT和RemcosRAT关联的基于AutoIt的脚本，也被引入到受感染的环境中。

这种分层部署策略表明，高价值目标受到冗余控制机制的保护，即使检测到或清除某种恶意软件，也能确保运行的连续性。多种远程访问木马（RAT）家族的存在显著增强了攻击者维持访问权限和应对防御措施的能力。

此次攻击活动的一个显著特点是滥用安装在受感染系统上的 KakaoTalk 桌面应用程序。攻击者利用已认证的用户会话，将受害者变成不知情的恶意软件传播者。

利用被盗用的账户，恶意ZIP文件会被有选择地发送给受害者网络中的联系人。这些文件通常伪装成与朝鲜相关的内容，从而增加用户互动和被处决的可能性。

这种策略利用已建立的信任关系，显著提高感染成功率，并实现跨社交和职业网络的有针对性的横向移动。

此次攻击活动建立在此前观察到的活动之上，该活动始于2025年11月，当时同一威胁组织利用KakaoTalk会话分发恶意文件。在那次行动中，攻击者还利用窃取的谷歌凭证远程擦除了受害者的安卓设备。

即时通讯平台的持续使用凸显了一种不断演变的策略，这种策略侧重于账户劫持和可信的沟通渠道，而不是传统的群体传播技术。

此次行动展现了一种高度协调的多阶段攻击框架，其影响远远超出了初始入侵阶段。攻击者通过结合鱼叉式网络钓鱼、隐蔽持久化、利用EndRAT进行高级远程访问以及基于账户的传播等手段，实现了入侵策略的深度和广度。

有选择地锁定目标，并结合精心制作的诱饵内容，凸显了其深思熟虑且以情报为导向的策略。对 EndRAT 作为核心控制机制的依赖，强化了其作为现代网络间谍活动关键工具的地位，使其能够实现持续访问、数据窃取以及在可信网络中建立可扩展的感染链。

搜索