Um grupo de ciberespionagem da Coreia do Norte ressurgiu com uma variante mais furtiva de seu trojan de acesso remoto chamado Konni para atacar instituições políticas localizadas na Rússia e na Coreia do Sul.

O objetivo dos autores é quebrar o fluxo típico registrado por sandboxes e dificultar a detecção, especialmente por meio de assinaturas regulares, pois partes críticas do executável agora são criptografadas. As invasões mais recentes encenadas pelo grupo, envolveram o Ministério das Relações Exteriores (MID) da Federação Russa com iscas para comprometer os sistemas Windows através do malware.

As infecções, assim como outros ataques desse tipo, começam com um documento malicioso do Microsoft Office que, quando aberto, inicia um processo de vários estágios que envolve várias partes móveis que ajudam os invasores a elevar privilégios, evitar a detecção e, finalmente, implantar o Konni RAT carga útil em sistemas comprometidos.

Uma nova adição aos recursos existentes do backdoor é a transição da codificação Base64 para a criptografia AES para proteger suas strings e ofuscar seu verdadeiro propósito. Além disso, os vários arquivos de suporte descartados para facilitar o comprometimento agora também são criptografados usando AES.