O grupo de ciberespionagem norte-coreano Konni APT tem direcionado ataques contra entidades governamentais da Ucrânia, com o objetivo de coletar informações sobre o andamento da invasão russa, segundo a empresa de segurança Proofpoint. A operação marca uma ampliação dos alvos do grupo, que historicamente focava Rússia, Coreia do Sul e Estados Unidos.

A campanha utiliza e-mails de phishing que simulam comunicações de um suposto membro sênior de um think tank fictício chamado Royal Institute of Strategic Studies. As mensagens trazem links para arquivos RAR protegidos por senha, hospedados no MEGA. Ao abrir o arquivo, inicia-se uma cadeia de infecção projetada para realizar reconhecimento detalhado do sistema da vítima. O arquivo principal é um CHM que exibe conteúdo falso sobre o ex-comandante militar ucraniano Valeriy Zaluzhnyi. Ao interagir com o arquivo, um comando PowerShell é acionado, baixando um segundo script que coleta informações do sistema e as envia a um servidor remoto.

Outra variante do ataque inclui o envio direto de arquivos HTML com links para arquivos ZIP contendo um PDF e um atalho LNK. Esse atalho executa códigos que culminam na execução de malware via PowerShell. Além disso, o grupo TA406 (outro nome do Konni APT) também tentou roubar credenciais por meio de e-mails falsos de alerta de segurança da Microsoft, enviados via ProtonMail, pedindo que o destinatário verificasse um suposto login suspeito. A campanha tem como foco inteligência estratégica, diferente de grupos russos que visam alvos táticos no campo de batalha. O relatório ainda conecta a atividade do Konni a campanhas contra a Coreia do Sul, envolvendo malware como PEBBLEDASH e RoKRAT, frequentemente entregues via arquivos LNK em campanhas de spear-phishing.