Nordkoreanische Hacker verbreiten EndRAT über KakaoTalk

Nordkoreanische Bedrohungsakteure haben kürzlich Phishing-Angriffe gestartet, um Zugang zu den Desktop-Anwendungen von KakaoTalk zu erlangen. Diese Aktivitäten wurden von der südkoreanischen Bedrohungsintelligenz-Firma Genians einer Hackergruppe namens Konni zugeordnet. Die Angriffe zielen darauf ab, schadhafte Payloads an Kontakte der Opfer zu verteilen. Die initiale Zugangsgewinnung erfolgt durch gezielte Spear-Phishing-E-Mails, die als vertrauenswürdige Kommunikation getarnt sind. Diese E-Mails enthalten oft Links oder Anhänge, die die Benutzer dazu verleiten, Malware herunterzuladen.

Sobald die Malware installiert ist, können die Angreifer die Kontrolle über die KakaoTalk-Anwendung des Opfers übernehmen. Die Verbreitung der Malware erfolgt über die Kontaktliste des Opfers, was die Reichweite der Angriffe erheblich erhöht. Die Hacker nutzen die Popularität von KakaoTalk, um das Vertrauen der Nutzer auszunutzen. Diese Strategie ermöglicht es ihnen, die Malware an eine Vielzahl von Benutzern zu verbreiten, ohne dass diese Verdacht schöpfen. Die Malware, bekannt als EndRAT, ist ein Remote Access Trojaner, der es Angreifern ermöglicht, die Kontrolle über infizierte Systeme zu übernehmen.

EndRAT kann Daten stehlen, Screenshots anfertigen und sogar Mikrofone aktivieren, um Gespräche abzuhören. Diese Funktionen machen die Malware besonders gefährlich für Unternehmen und Einzelpersonen, die sensible Informationen verwalten. Die südkoreanischen Sicherheitsbehörden haben die Öffentlichkeit über die Bedrohung informiert und raten zur Vorsicht beim Öffnen von E-Mails von unbekannten Absendern. Nutzer sollten sicherstellen, dass ihre Sicherheitssoftware auf dem neuesten Stand ist und regelmäßig Updates erhalten. Die Verwendung von Zwei-Faktor-Authentifizierung wird ebenfalls empfohlen, um den Zugriff auf Konten zu sichern.

Die Aktivitäten von Konni sind Teil eines größeren Trends, bei dem nordkoreanische Hackergruppen zunehmend auf Phishing und Social Engineering setzen, um ihre Ziele zu erreichen. Diese Taktiken sind kostengünstig und erfordern weniger technische Ressourcen im Vergleich zu anderen Angriffsmethoden. Die Bedrohung durch solche Gruppen bleibt hoch, insbesondere in der Region Asien-Pazifik. Analysten warnen, dass die Angriffe auf KakaoTalk nicht isoliert sind. Ähnliche Methoden wurden auch bei anderen Messaging-Diensten beobachtet.

Verwendung von Messaging-Plattformen als Angriffsvektor zeigt, dass Cyberkriminelle ständig nach neuen Wegen suchen, um ihre Ziele zu erreichen. Die südkoreanische Regierung hat Maßnahmen ergriffen, um die Cybersicherheit zu verbessern und die Bevölkerung über die Risiken aufzuklären. Initiativen zur Sensibilisierung und Schulung von Mitarbeitern in Unternehmen sind Teil dieser Strategie. Die Behörden arbeiten auch eng mit internationalen Partnern zusammen, um die Bedrohung durch nordkoreanische Hacker zu bekämpfen. Die Sicherheitslücke, die durch EndRAT ausgenutzt wird, ist ein Beispiel für die anhaltenden Herausforderungen im Bereich der Cybersicherheit.

Unternehmen und Einzelpersonen müssen wachsam bleiben und proaktive Maßnahmen ergreifen, um sich vor solchen Bedrohungen zu schützen. Die Bedrohung durch Konni und ähnliche Gruppen wird voraussichtlich weiterhin bestehen. Genians hat in seinem Bericht darauf hingewiesen, dass die Angriffe auf KakaoTalk seit Anfang 2026 zugenommen haben. Die genaue Anzahl der betroffenen Nutzer ist derzeit unbekannt, jedoch wird die Zahl auf mehrere Tausend geschätzt.