Den Ausgangspunkt der Kampagne bildet eine Spear-Phishing-E-Mail, mit der die Empfänger dazu gebracht werden sollen, eine ZIP-Datei mit einer Windows-Verknüpfung (LNK) zu öffnen. Wird die LNK-Datei ausgeführt, lädt sie eine Folgekomponente von einem externen Server nach, richtet über geplante Aufgaben eine dauerhafte Verankerung im System ein und führt schließlich die Schadsoftware aus. Zur Ablenkung wird dem Nutzer dabei ein PDF-Köderdokument angezeigt.

Bei der nachgeladenen Schadsoftware handelt es sich um einen in AutoIt geschriebenen Fernzugriffstrojaner namens EndRAT (auch EndClient RAT). Er erlaubt es dem Betreiber, das kompromittierte System aus der Ferne zu steuern, unter anderem über Dateiverwaltung, Remote-Shell-Zugriff, Datenübertragung und Persistenz.

Bei der weiteren Analyse des infizierten Systems stießen die Forscher auf zusätzliche schädliche Artefakte, darunter AutoIt-Skripte, die RftRAT und RemcosRAT zuzuordnen sind. Laut Genians deutet dies darauf hin, dass die Angreifer das Opfer als wertvoll genug einstuften, um mehrere RAT-Familien zu platzieren und so die Widerstandsfähigkeit ihres Zugriffs zu erhöhen.

Zentraler Aspekt des Angriffs ist der Missbrauch der auf dem infizierten System installierten KakaoTalk-Anwendung des Opfers. Über sie verteilten die Angreifer schädliche ZIP-Dateien an andere Personen aus der Kontaktliste und brachten dort dieselbe Schadsoftware aus. Damit werden bestehende Opfer zu Zwischenstationen für weitere Angriffe.

“Diese Kampagne wird als mehrstufige Angriffsoperation bewertet, die über einfaches Spear-Phishing hinausgeht und langfristige Persistenz, Informationsdiebstahl sowie eine kontobasierte Weiterverteilung kombiniert”, erklärte Genians. Die Angreifer wählten gezielt bestimmte Kontakte aus der Freundesliste des Opfers aus und sandten ihnen weitere schädliche Dateien. Dabei tarnten sie die Dateinamen als Materialien mit Bezug zu Nordkorea, um die Empfänger zum Öffnen zu verleiten.

Es ist nicht das erste Mal, dass Konni die Messaging-App als Verbreitungsweg nutzt. Im November 2025 missbrauchte die Gruppe angemeldete KakaoTalk-Sitzungen, um Schadsoftware in Form eines ZIP-Archivs an die Kontakte der Opfer zu senden und zugleich über gestohlene Google-Zugangsdaten eine Fernlöschung der Android-Geräte der Betroffenen einzuleiten.