APT Konni déploie EndRAT et RftRAT via KakaoTalk : anatomie d...

Le Genians Security Center (GSC) vient de publier une analyse détaillée d'une campagne d'attaque multi-étapes menée par le groupe APT Konni, attribué à la Corée du Nord. La particularité de cette opération : l'exploitation de KakaoTalk comme vecteur de propagation latérale, transformant chaque victime en relais de distribution de malware.

La chaîne d'attaque initiale suit un schéma classique de spear-phishing. L'email leurre se présente comme une nomination officielle de conférencier sur les droits de l'homme nord-coréens. La pièce jointe est un fichier ZIP contenant un raccourci Windows (LNK) malveillant.

L'exécution du fichier LNK déclenche une séquence en plusieurs phases. D'abord, le téléchargement du payload depuis un serveur externe C2. Ensuite, l'établissement de la persistance via des tâches planifiées Windows (Scheduled Tasks). Un document PDF leurre s'affiche à l'utilisateur pendant l'installation silencieuse du malware principal.

Le malware déployé en première instance est EndRAT (aussi appelé EndClient RAT), un RAT écrit en AutoIt offrant les capacités suivantes : gestion de fichiers à distance, accès shell interactif, transfert de données bidirectionnel, et mécanismes de persistance multiples.

L'analyse forensique du système compromis a révélé la présence simultanée de plusieurs familles de RAT : EndRAT en payload principal, RftRAT en backup, et Remcos RAT en couche supplémentaire de résilience. Ce déploiement multi-RAT indique que l'adversaire a évalué la cible comme suffisamment importante pour justifier une redondance de ses capacités d'accès.

La phase la plus notable de l'opération est l'exploitation de KakaoTalk comme canal de propagation. Une fois le poste compromis, l'opérateur accède à l'application KakaoTalk desktop installée sur la machine victime. Il sélectionne des contacts spécifiques dans la liste d'amis, puis leur envoie des fichiers ZIP malveillants via la messagerie, déguisés en documents liés à la Corée du Nord.

Cette technique d'abus de confiance relationnelle est redoutable. Les destinataires reçoivent un fichier d'un contact légitime et connu, via un canal de communication habituel, avec un nom de fichier contextuellement plausible. Le taux d'ouverture est vraisemblablement très supérieur à celui d'un spear-phishing classique par email.

Ce n'est pas la première utilisation de KakaoTalk par Konni. En novembre 2025, le groupe avait exploité des sessions KakaoTalk actives pour distribuer des payloads sous forme d'archives ZIP, combiné à un remote wipe des appareils Android via des identifiants Google volés — une opération de destruction d'evidence post-exfiltration.

Indicateurs à surveiller pour les équipes SOC : activité LNK inhabituelle déclenchant des téléchargements externes, tâches planifiées créées par des processus non standard, scripts AutoIt en exécution persistante, trafic réseau vers des domaines C2 non répertoriés, et activité anormale de l'application KakaoTalk (envoi de fichiers en masse ou à des heures inhabituelles).

La leçon opérationnelle est claire : les applications de messagerie desktop deviennent des vecteurs de propagation latérale à part entière. La compromission d'un seul poste peut se transformer en campagne d'infection à grande échelle via le graphe social de la victime.