PhishingMalwareCyberkriminalität

Nordkoreanische Hackergruppe Konni nutzt KakaoTalk zur Malware-Verbreitung

Nordkoreanische Hackergruppe Konni nutzt KakaoTalk zur Malware-Verbreitung
Zusammenfassung

# Nordkoreanische Hacker missbrauchen KakaoTalk zur Malware-Verbreitung Die nordkoreanische Hackergruppe Konni führt derzeit eine ausgefeilte Malware-Kampagne durch, die Phishing-E-Mails als Einfallstor nutzt und die Messaging-App KakaoTalk zur Verbreitung von Schadsoftware missbraucht. Wie Sicherheitsforscher des südkoreanischen Unternehmens Genians berichten, beginnen die Angriffe mit täuschend echten Spear-Phishing-E-Mails, die sich beispielsweise als Einladungen zur Vorlesung über Menschenrechte in Nordkorea ausgeben. Nach erfolgreichem Klick auf eine manipulierte LNK-Datei wird das Remote-Access-Trojanerprogramm EndRAT installiert, das dem Angreifer vollständige Kontrolle über den infizierten Computer ermöglicht. Besonders bemerkenswert ist die Missbrauchstaktik: Die Hacker nutzen das KakaoTalk-Konto des Opfers, um weitere Kontakte automatisch mit Malware zu infizieren und verwandeln die Opfer somit in unwissentliche Verbreiter. Diese Vorgehensweise zielt darauf ab, das Vertrauen zwischen Kontakten auszunutzen. Für deutsche Nutzer und Unternehmen mit ostasiatischen Kontakten oder Geschäftsbeziehungen stellt dies ein erhebliches Risiko dar, da auch deutschsprachige Ziele potenziell ins Visier geraten könnten, besonders wenn es um sensible Informationen oder geschäftliche Inhalte geht.

Die Kampagne beginnt mit einer ausgeklügelten Spear-Phishing-E-Mail, die sich als offizielle Mitteilung ausgibt – in diesem Fall als Berufungsschreiben für einen Referenten zum Thema Menschenrechte in Nordkorea. Der Köder ist bewusst gewählt, um bei ausgewählten Zielpersonen die Wachsamkeit zu senken. Wer das ZIP-Archiv öffnet, findet darin eine Windows-Verknüpfungsdatei (LNK), die bei der Ausführung automatisch einen bösartigen Code nachlädt.

Die heruntergeladene Malware ist EndRAT – ein Remote-Access-Trojaner (RAT), geschrieben in der Programmiersprache AutoIt. Genians dokumentierte, dass EndRAT umfangreiche Kontrollfunktionen bietet: Dateiverwaltung, Remote-Shell-Zugriff, Datenübertragung und die Etablierung von Persistenz auf dem System. Während der Malware ihre Arbeit verrichtet, zeigt sich dem Nutzer ein PDF-Dokument als Ablenkungsmanöver.

Besonders bemerkenswert ist die Persistierungstechnik: Die Gruppe nutzt Windows-Aufgabenplanung (Scheduled Tasks), um sicherzustellen, dass die Malware bei jedem Systemstart neu geladen wird. Damit bleibt die Infektion dem Opfer lange verborgen. Genians identifizierte zusätzlich AutoIt-Skripte für RftRAT und RemcosRAT auf denselben Systemen – die Angreifer deployen also mehrere RAT-Familien parallel, um ihre Kontrolle zu sichern, sollte eine entdeckt werden.

Das perfideste Merkmal dieser Kampagne: Konni missbraucht die KakaoTalk-Anwendung des kompromittierten Systems, um weitere Malware-Dateien (wiederum in ZIP-Archiven) an die Kontakte des Opfers zu versenden. Die Angreifer wählen gezielt Empfänger aus der Kontaktliste aus und tarnen die Dateien mit Dateinamen, die auf Nordkorea-bezogene Inhalte hinweisen. Dadurch wird jedes infizierte System zu einer Waffe gegen die persönlichen Kontakte des Opfers – ein Vertrauensmissbrauch im großen Stil.

Das ist nicht das erste Mal, dass Konni KakaoTalk als Verbreitungsvektor nutzt. Im November 2025 wurden ähnliche Angriffe bekannt, bei denen die Gruppe nicht nur Malware versandte, sondern auch Android-Geräte von Opfern per Remote-Wipe löschte – nachdem sie Zugang zu Google-Credentials erhalten hatte.

Genians wertet die Kampagne als mehrstufige Operation ein, die weit über einfaches Phishing hinausgeht. Für IT-Sicherheitsverantwortliche in Deutschland bedeutet das: Mitarbeiter sollten besonders bei E-Mails mit politischem oder sicherheitstechnischem Bezug sensibilisiert werden – und KakaoTalk-Nutzer sollten überprüfen, ob verdächtige Dateien an ihre Kontakte versendet wurden.

Ähnliche Artikel