Một trình cài đặt cho một công cụ có khả năng được sử dụng bởi Cục Lãnh sự Nga của Bộ Ngoại giao (MID) đã được backdoor để cung cấp một trojan truy cập từ xa được gọi là Konni RAT (hay còn gọi là UpDog).
Những phát hiện này đến từ công ty an ninh mạng DCSO của Đức, liên kết hoạt động này có nguồn gốc từ Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) - các tác nhân quan hệ nhắm vào Nga.
Cụm hoạt động Konni (hay còn gọi là Opal Sleet, Osmium hoặc TA406) có mô hình triển khai Konni RAT chống lại các thực thể Nga, với tác nhân đe dọa cũng liên quan đến các cuộc tấn công trực tiếp chống lại MID ít nhất kể từ tháng 10/2021.
Vào tháng 11/2023, Fortinet FortiGuard Labs đã tiết lộ việc sử dụng các tài liệu Microsoft Word bằng tiếng Nga để phát tán phần mềm độc hại có khả năng thu thập thông tin nhạy cảm từ các máy chủ Windows bị xâm nhập.
DCSO cho biết việc đóng gói Konni RAT trong các trình cài đặt phần mềm là một kỹ thuật được nhóm áp dụng trước đó vào tháng 10/2023, khi họ bị phát hiện tận dụng một phần mềm nộp thuế cửa sau của Nga có tên Spravki BK để phân phối trojan.
"Trong trường hợp này, trình cài đặt cửa sau dường như dành cho một công cụ có tên 'Statistika KZU' (Cтатистика КЗУ)", công ty có trụ sở tại Berlin cho biết.
"Trên cơ sở đường dẫn cài đặt, siêu dữ liệu tệp và hướng dẫn sử dụng đi kèm trong trình cài đặt, [...] phần mềm này được thiết kế để sử dụng nội bộ trong Bộ Ngoại giao Nga (MID), đặc biệt để chuyển tiếp các tệp báo cáo hàng năm từ các cơ quan lãnh sự ở nước ngoài (КЗУ - консульские загранучреждения) đến Cục Lãnh sự của MID thông qua một kênh an toàn.
Trình cài đặt trojan là một tệp MSI, khi được khởi chạy, sẽ khởi tạo trình tự lây nhiễm để thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) để chờ hướng dẫn thêm.
Trojan truy cập từ xa, đi kèm với khả năng truyền tệp và thực thi lệnh, được cho là đã được đưa vào sử dụng vào đầu năm 2014 và cũng đã được sử dụng bởi các tác nhân đe dọa khác của Triều Tiên được gọi là Kimsuky và ScarCruft (hay còn gọi là APT37).
Hiện tại vẫn chưa rõ làm thế nào các tác nhân đe dọa quản lý để có được trình cài đặt, vì nó không thể có được công khai. Nhưng người ta nghi ngờ rằng lịch sử lâu dài của các hoạt động gián điệp nhắm vào Nga có thể đã giúp họ xác định các công cụ tiềm năng cho các cuộc tấn công tiếp theo.
Mặc dù việc Triều Tiên nhắm mục tiêu vào Nga không phải là mới, nhưng diễn biến này diễn ra trong bối cảnh sự gần gũi địa chính trị ngày càng tăng giữa hai nước. Truyền thông nhà nước từ Vương quốc Hermit đưa tin trong tuần này rằng Tổng thống Nga Vladimir Putin đã tặng nhà lãnh đạo Kim Jong Un một chiếc xe hơi sang trọng do Nga sản xuất.
"Ở một mức độ nào đó, điều này không nên gây ngạc nhiên; Sự gần gũi chiến lược ngày càng tăng sẽ không được kỳ vọng sẽ ghi đè hoàn toàn lên nhu cầu thu thập của Triều Tiên, với nhu cầu liên tục từ phía CHDCND Triều Tiên để có thể đánh giá và xác minh kế hoạch và mục tiêu chính sách đối ngoại của Nga", DCSO cho biết.