Kuzey Kore rejimi ve Kimsuky veya APT37 gibi ilgili gruplarla bağlantılı olduğundan şüphelenilen ve KONNI olarak bilinen devlet destekli bir bilgisayar korsanlığı grubu, kullanıcıları gözetlemek ve Android cihazlarındaki verileri silmek için iki bölümlü bir saldırı kullanırken yakalandı.
Bu endişe verici bulgu, saldırı zincirini ilk kez tanımlayan Genians Güvenlik Merkezi’nin (GSC) yaptığı bir araştırmadan geliyor.
Kimlik Avı, Casusluk ve Güven Kazanma
İlk sorun, bilgisayar korsanlarının bir kişiyi kötü amaçlı bir dosyayı açması için kandırmak üzere ikna edici bir mesaj gönderdiği hedef odaklı kimlik avı ile başlıyor. Bu kampanyada saldırganlar, Kuzey Koreli sığınmacı gençleri destekleyen profesyonel bir psikolojik danışman veya Ulusal Vergi Servisi personeli gibi güvenilir rolleri taklit ettiler.
Kurban kötü amaçlı dosyayı (bir belge veya başvuru formu olarak gizlenmiş) açtığında, bilgisayar korsanları bilgisayarlarına gizli erişim elde etti. Araştırma, Konni oyuncularının bir yıldan fazla bir süre boyunca gizli kaldıklarını ve kurbanı bazen web kameraları aracılığıyla gizlice izlediklerini ortaya koyuyor.
Güveni Silahlandırmak ve Verileri Silmek
Araştırma firması, KONNI bilgisayar korsanlarının içeri girdikten sonra operasyonlarını Güney Kore bölgesine odakladıklarını ve yaygın olarak kullanılan yerel platformu kullanarak, KakaoTalk’un habercisi. Kurbanın giriş yapmış olduğu KakaoTalk mesajlaşma hesabını, Stress Clear.zip adlı bir stres giderme programı gibi kötü amaçlı yazılımlarını kişilerine daha da yaymak için kötüye kullandılar.
Bu güvene dayalı saldırı oldukça etkilidir. GSC’nin raporuna göre kayıtlar, 5 Eylül 2025’te bir kurbanın hesabının ele geçirildiğini ve ardından 15 Eylül 2025’te daha büyük bir dalganın geldiğini gösteriyor.
Saldırı daha sonra yıkıcı bir hal aldı; Bilgisayar korsanları, kurbanın Google hesabı şifrelerini çaldıktan sonra meşru Google Find Hub hizmetini (kayıp bir telefonu bulmanıza yardımcı olmayı amaçlayan) kötüye kullandılar.
KONNI bilgisayar korsanları, kurbanın cihazlarından uzakta olduğunu doğrulayarak kurbanın Android akıllı telefonu ve tabletinde uzaktan fabrika ayarlarına sıfırlama işlemi gerçekleştirmek için Find Hub’ı kullandı. Bu eylem tüm kişisel verileri sildi ve kurbanın uyarı almasını engelleyerek devam eden saldırıyı tespit etme ve yanıt verme yeteneğini başarıyla kesti.
Önerilen Savunmalar
Bu vaka, kişisel verilerin nasıl çalınabileceğini ve daha sonra bir kurbanı başka bir saldırı kaynağına dönüştürmek için kullanılabileceğini gösteriyor. Buna karşı korunmak için, tanıdığınız birinden geliyor gibi görünseler bile beklenmedik kaynaklardan gelen dosyaları asla açmamalı veya çalıştırmamalısınız.
Ayrıca, yetkisiz erişime karşı koruma sağlamak amacıyla Google hesabınız için iki faktörlü kimlik doğrulama (2FA) gibi ekstra güvenlik kullanılması önemle tavsiye edilir.