据报道,由国家支持的朝鲜威胁组织Konni(Opal Sleet, TA406)被观察到针对乌克兰政府实体进行情报收集活动。攻击者使用钓鱼邮件,假装成智库成员,引用重要政治事件或军事发展,以引诱目标。据Proofpoint研究人员称,这可能是为了支持朝鲜在乌克兰与俄罗斯的军事合作,并评估冲突的政治状态。
研究人员指出,朝鲜在2024年秋季向俄罗斯派遣了部队,TA406很可能是在收集情报,以帮助朝鲜领导层确定对其已在战区部队的当前风险,以及俄罗斯是否可能请求更多部队或武器。攻击者通过伪造的智库成员发送恶意邮件,涉及乌克兰的总统选举或军事领导人更换等关键问题,使用Gmail、ProtonMail和Outlook等免费邮件服务反复向目标发送消息,诱导其点击链接。
点击链接后,受害者会被引导至MEGA托管的下载页面,下载一个密码保护的.RAR文件(Analytical Report.rar),其中包含一个同名的.CHM文件。打开文件后会触发嵌入的PowerShell,下载下一阶段的PowerShell,获取被感染主机的侦察信息,并建立持久性。