Ein Installationsprogramm für ein Tool, das wahrscheinlich vom Konsularischen Departement des russischen Ministeriums für auswärtige Angelegenheiten verwendet wird, wurde manipuliert, um einen Remote-Zugriffstrojaner namens Konni RAT (auch bekannt als UpDog) zu verteilen. Die Erkenntnisse stammen von der deutschen Cybersecurity-Firma DCSO, die die Aktivität mit nordkoreanischen Akteuren verknüpft, die Russland ins Visier nehmen. Konni RAT hat ein etabliertes Muster, russische Einrichtungen anzugreifen, und wurde auch mit Angriffen auf das MID seit Oktober 2021 in Verbindung gebracht.
DCSO berichtete, dass die Verpackung des Konni RAT in Installationsprogramme eine Technik ist, die bereits im Oktober 2023 von der Gruppe angewendet wurde, als festgestellt wurde, dass sie ein manipuliertes russisches Steuererklärungsprogramm namens Spravki BK verwendeten, um den Trojaner zu verbreiten. In diesem speziellen Fall scheint der manipulierte Installer für ein Tool namens ‚Statistika KZU‘ gedacht zu sein, das vom MID für den Austausch von Jahresberichten von ausländischen konsularischen Posten über einen sicheren Kanal mit dem Konsularischen Departement verwendet wird.
Der trojanisierte Installer ist eine MSI-Datei, die bei der Ausführung den Infektionsablauf startet, um eine Verbindung zu einem Command-and-Control-Server herzustellen und weitere Anweisungen abzuwarten. Der Remote-Zugriffstrojaner, der Funktionen für Dateiübertragungen und Befehlsausführung bietet, wurde wahrscheinlich bereits ab 2014 eingesetzt und wurde auch von einer anderen nordkoreanischen Bedrohungsgruppe namens Kimsuky und ScarCruft (auch bekannt als APT37) genutzt.
Es ist unklar, wie die Bedrohungsakteure den Installer erhalten haben, da er nicht öffentlich verfügbar ist. Es wird jedoch vermutet, dass die lange Geschichte von Spionageoperationen gegen Russland ihnen geholfen haben könnte, potenzielle Tools für nachfolgende Angriffe zu identifizieren. Die Entwicklung erfolgt inmitten einer wachsenden geopolitischen Nähe zwischen Russland und Nordkorea, wobei nordkoreanische Medien berichteten, dass der russische Präsident Wladimir Putin dem Führer Kim Jong Un ein luxuriöses russisches Auto geschenkt hat. Die steigende strategische Nähe würde die bestehenden Sammlungsbedürfnisse Nordkoreas nicht vollständig überschreiben, da Nordkorea weiterhin Russlands Außenpolitik und -ziele bewerten und überprüfen möchte.